Correctifs de la version 3.2.0

Système

Certificats et PKI

Référence support 60548

Lors d'une requête SCEP (Simple Certificate Enrollment Protocol) à destination d'une PKI gérée par une plate-forme Microsoft Windows, la phase d'authentification échouait car l'encodage du mot de passe émis était différent de celui attendu (le protocole SCEP ne faisant pas encore l'objet d'une RFC). Cette anomalie a été corrigée.

Agent SNMP

Référence support 49523

L'OID (Object Identifier) correspondant à la quantité totale de mémoire tampon réservée (MIB UCD-SNMP) pouvait retourner à tort une valeur ne correspondant pas au format attendu (32 bits). Ce problème a été corrigé.

Référence support 54961

L'identifiant unique de l'agent SNMP était modifié à chaque redémarrage du service SNMP du firewall, provoquant ainsi potentiellement un défaut de communication avec les solutions de supervision.

Configuration des annuaires

Référence support 58839

La modification du nom d’un annuaire LDAP n’était pas répercutée dans les autres modules référençant cet annuaire (exemple : Filtrage et NAT). Cette anomalie a été corrigée.

Référence support 57419

Dans une configuration LDAP précisant un serveur de secours, et lorsque le serveur principal n’était plus joignable, les requêtes LDAP en mode synchrone (exemple : VPN SSL) n'étaient pas redirigées vers le serveur de secours. Ce problème a été corrigé.

Authentification

Référence support 59422

La première activation d'une méthode d'authentification n'était effective qu'après avoir rempli et validé ses éléments de configuration à deux reprises. Cette anomalie a été corrigée.

Sauvegardes automatiques

Référence support 59229

Des problèmes potentiels de communication entre les firewalls et les serveurs de sauvegardes automatiques ont été résolus en ajoutant l'autorité de certification racine Stormshield dans les autorités de confiance de ces serveurs.

Filtrage et NAT

Référence support 59849

Une règle de filtrage contenant plusieurs milliers d'adresses IP incluses dans des groupes en source ou destination pouvait provoquer un redémarrage en boucle du firewall. Ce problème a été corrigé.

Référence support 54522

L'option "Protéger des attaques SYN flood" (module Filtrage et Nat > Action > onglet Qualité de service > panneau Seuil de connexion > champ Si le seuil est atteint) ne fonctionnait pas pour protéger un serveur caché par de la translation d'adresses. Ce problème a été corrigé.

Translation d'adresses

Référence support 58919

Pour translater la source d'un flux émis par le firewall, il était impératif de ne pas spécifier de destination après translation (suppression de la valeur Any précisée dans la colonne Destination de la section Trafic après translation). Cette anomalie a été corrigée.

Commande CLI

Référence support 58853

La commande MONITOR FLUSH STATE X.Y.Z.A vidait la table des hôtes et des connexions au lieu de supprimer exclusivement les entrées concernant la machine X.Y.Z.A. Ce problème a été corrigé.

Haute disponibilité

Référence support 53958

L'état des disques des firewalls est pris en compte dans le calcul de qualité des membres d'un cluster.

Référence support 56613

Une instabilité du moteur de synchronisation des données provoquait un redémarrage en boucle du service de gestion de la Haute Disponibilité. Ce dysfonctionnement pouvait entraîner un passage du firewall passif en mode actif, les deux firewalls du cluster devenant alors actifs. Ce problème a été corrigé.

Référence support 56700

Les modifications apportées aux préférences utilisateurs sur le firewall actif n'étaient pas synchronisées avec le firewall passif. Cette anomalie a été corrigée.

Référence support 57317

Lorsque la table des événements à synchroniser était remplie, le moteur de gestion de la haute disponibilité tentait une nouvelle synchronisation complète, au détriment des performances du firewall. Ce comportement a été modifié, et le mécanisme supprime d'abord les plus anciens événements afin de pouvoir ajouter les plus récents dans la file d'attente.

Référence support 58846

Dans une configuration en Haute Disponibilité, les interfaces initialement inactives sur le firewall principal étaient indiquées comme actives après un double changement de rôle de ce firewall au sein du cluster (actif/passif/actif). Cette anomalie a été corrigée.

Référence support 58842

Lors d'un changement de rôle des firewalls au sein d'un cluster, la restauration des connexions actives en mode incrémental ne tenait pas compte de la filiation de ces connexions (flux de connexion / flux de données). Dans ce cas, les flux de données pour des protocoles de type FTP n'étaient ainsi pas transférés. Ce problème a été corrigé.

Proxies

Référence support 60090

Dans une configuration pour laquelle :

  • Les analyses Web 2.0 étaient désactivées (case Inspecter le code HTML décochée dans l'onglet IPS du protocole HTTP),
  • L’alarme « http:150 additional data at end of reply » était positionnée à passer.

Des requêtes http de type POST à destination du proxy pouvaient alors entraîner un blocage du firewall. Ce problème a été corrigé.

Référence support 56009

Lorsqu'un client SMTP dépassait la quantité de données autorisées en émission, le proxy envoyait une réponse du type "552 Data size exceeded" puis générait à tort une alarme "Protocole SMTP invalide" provoquant l'interruption de la connexion. Cette anomalie a été corrigée.

Référence support 56619

Le firewall pouvait tenter de réutiliser un certificat venant d'être supprimé. Cette anomalie pouvant provoquer un blocage du proxy a été corrigée.

IPSec (IKEv2)

Référence support 59900

Lors de l'établissement d'un tunnel IPSec IKEv2, les groupes auxquels étaient rattaché un utilisateur n’étaient pas communiqués au moteur de prévention d’intrusion. Cette anomalie a été corrigée.

Référence support 59730

Lors de la négociation d’un tunnel IPSec IKEv2 à l’initiative du firewall, celui-ci envoyait des sélecteurs IP additionnels qui pouvaient ne pas être acceptés par les équipements d’autres constructeurs (CheckPoint), empêchant ainsi l’établissement du tunnel. Ce problème a été corrigé.

VPN SSL

Référence support 48993

Lors d'un rechargement du serveur VPN SSL, la configuration destinée au client pouvait ne pas être complète et empêchait les connexions au service. Ce problème a été corrigé.

Référence support 59518

Le serveur VPN SSL n'acceptait pas les certificats présentant des espaces ou des caractères spéciaux (exemple : apostrophe), et échouait à créer l'archive de configuration destinée à être téléchargée par le client. Ce problème a été corrigé.

Référence support 49110

Les performances du VPN SSL ont été améliorées grâce au support du protocole UDP pour l'établissement des tunnels.

PPTP

Référence support 59237

La tentative d'établissement d'un tunnel PPTP à destination d'un firewall utilisant du routage par interface pouvait entrainer le blocage du moteur de gestion des tunnels PPTP. Ce problème a été corrigé.

Objets réseau - Objets globaux

Référence support 59511

L'export au format CSV des objets globaux ne fonctionnait pas. Ce problème a été corrigé.

Traces - Stockage local

Référence support 59751

Une optimisation dans les paramètres d’accès à la carte SD sur les firewalls modèle U30S, SN200 et SN300 a corrigé des problèmes de redémarrages intempestifs du firewall.

Réseau

LACP

Référence support 59545

La modification de l'adresse MAC d'un agrégat n'était pas répercutée sur la première interface physique appartenant à cet agrégat.

IPv6

Référence support 58635

Les requêtes ICMP, ou de découverte du voisinage réseau, à destination d'une interface paramétrée en IPv6 avec un masque de sous-réseau égal à /64 provoquaient une alarme bloquante "usurpation d'adresse IP de type 1" (adresse source issue d'une interface non protégée à destination d'une interface protégée). Ce problème a été corrigé.

Objets réseau

Référence support 54843 - 56211

Lors de la manipulation de la base objets, l'ensemble des entrées de la table ARP du firewall était systématiquement effacée. Les solutions de supervision réseau pouvaient alors considérer à tort des machines injoignables pendant la reconstruction de cette table. Ce comportement a été modifié et seules les entrées permanentes de cette table sont supprimées lors de la manipulation de la base objets.

Prévention d'intrusion

Protocole SMB2

Référence support 58662

Une erreur dans la lecture de paquets SMB2 lors d'une tentative d'authentification via la méthode SPNEGO pouvait provoquer à tort l'alarme bloquante "Protocole NBSS/SMB2 invalide". Ce problème a été corrigé.

Protocole Ethernet/IP

Référence support 59987

Le module de prévention d'intrusion dédié à l'analyse du protocole industriel Ethernet/IP pouvait se déclencher à tort sur certains flux UDP, provoquant le blocage de ceux-ci. Cette anomalie a été corrigée.

Management de vulnérabilités

Référence support 55973 58875

Des problèmes de blocage du moteur de prévention d'intrusion ont été résolus par une optimisation du mécanisme de management de vulnérabilités pour les flux provenant ou à destination du firewall.

File d'attente du moteur de prévention d'intrusion

Référence support 59366

Lorsque le nombre de connexions dépassait la file d'attente des événements gérées par le moteur de prévention d'intrusion, le message "HA: Overflow detected while reading ASQ events, resync needed" était généré dans le journaux d'événements, bien que la haute disponibilité ne soit pas activée sur le firewall. Ce message a été modifié en "Overflow detected while reading IPS events, resync needed".

Protocole ICMP

Référence support 59712

Un paramètre fixant le taux global maximum de paquets d’erreurs ICMP autorisés par coeur a été ajouté aux firewalls. Ce paramètre, fixé par défaut à 25000 paquets/s, est modifiable dans la configuration globale du protocole ICMP.

Interface Web d'administration

Filtrage et NAT

Lors de l'édition d'un commentaire, l'utilisation des raccourcis clavier CTRL+C et CTRL+V provoquait un copier / coller d'une nouvelle règle de filtrage plutôt que du commentaire concerné. Cette anomalie a été corrigée.

Référence support 54930

Suite au renommage du protocole dcerpc en dcerpc_tcp, la sélection de dcerpc dans le champ protocole d'une règle de filtrage provoquait une erreur. Ce problème a été corrigé.

Référence support 47826

Le déplacement d'un séparateur de règles replié n'entraînait pas le déplacement des règles de filtrage qui lui étaient rattachées. Cette anomalie a été corrigée.

Traces -Syslog - IPFIX

Référence support 60007

Lorsque le formatage d'une carte SD échouait, l'erreur n'était pas affichée et la fenêtre de formatage restait indéfiniment affichée. Ce problème a été corrigé.

Administrateurs

Référence support 61167

Après validation du changement du mot de passe du compte admin, la page pouvait rester bloquée sur le message "Sauvegarde de la configuration en cours, veuillez patienter...". Cette anomalie a été corrigée.

Configuration des annuaires

Référence support 60079

Lorsque le nom de plusieurs annuaires était dérivé du nom de l’annuaire par défaut (exemple : mycompany.eu [défaut] , mycompany.eu.fr, mycompany.eu.org …), tous ces annuaires étaient représentés comme annuaires par défaut dans le module Utilisateurs > Configuration des annuaires.

Supervision

Configuration de la supervision

Référence support 59538 - 59590

Les interfaces agrégées ne pouvaient pas être sélectionnées dans la liste des interfaces à superviser. Cette anomalie a été corrigée.

Supervision de la QoS

Référence support 59322

La courbe historique de supervision de la QoS n'affichait pas de données car les identifiants des files d'attente de QoS n'étaient pas pris en compte. Cette anomalie a été corrigée.

Matériel

Voyants lumineux - SN150

Référence support 58532

Le voyant lumineux Online situé en façade du firewall SN150 ne s'allumait pas au démarrage du boîtier. Cette anomalie a été corrigée.