Correctifs de la version 3.3.0

Système

Haute Disponibilité

Référence support 64234

Le rechargement d'une politique de filtrage composée de plusieurs centaines de règles pouvait empêcher momentanément la communication des deux membres du cluster sur leur lien de Haute Disponibilité. Selon la durée de cette interruption, le firewall passif pouvait changer d'état pour se déclarer actif. Le rétablissement de la communication entre les deux firewalls provoquait alors une tentative de synchronisation complète de la table de connexions de la part des deux membres du cluster. Ce comportement, qui entraînait une charge anormalement élevée du cluster, a été corrigé.

Référence support 61400

Les informations concernant l'état de la Haute Disponibilité pouvaient ne plus s'afficher dans le tableau de bord, et un clic sur le module Haute Disponibilité provoquait le message d'erreur "Failure when loading high availability information". Ce problème a été corrigé.

Référence support 65614

Sous une forte charge, et en cas de perte d’un lien HA, le mécanisme de gestion de la Haute Disponibilité pouvait tenter de recréer ce lien sans y parvenir. Cette anomalie a été corrigée.

Référence support 65925

Un problème dans la restauration des liens entre connexions, lors d’un changement de rôle des firewalls au sein d’un cluster, pouvait entraîner un redémarrage du firewall. Ce problème a été corrigé.

Routage dynamique

Référence support 65730

Sur les firewalls modèle SN150, SN160(W), SN210(W) et SN310, le système ne prenait pas en compte les routes apprises par le moteur de routage dynamique Bird. Ce problème a été corrigé.

Configuration

Référence support 54377

La définition d'un serveur proxy pour l'accès à Internet du firewall (menu Système > Configuration > onglet Paramètres réseaux) provoquait un blocage du mécanisme de vérification des CRL (Certificates Revocation List). Ce problème a été corrigé.

 

Référence support 63972

Dans le module Système > Configuration > onglet Paramètres réseau, l'activation de l'utilisation d'un serveur proxy pour l'accès Internet du firewall obligeait à tort la saisie d'un identifiant et d'un mot de passe. Cette anomalie a été corrigée.

Interfaces GRETAP

Référence support 65589

Les adresses MAC associées aux paquets sortant d’un tunnel établi entre des interfaces GRETAP étaient erronées. Ce problème a été corrigé.

Agrégation de liens

Référence support 65755

Un dysfonctionnement dans la répartition des flux sur les interfaces physiques appartenant à un agrégat de liens a été corrigé.

  

Filtrage et NAT

Le mécanisme de rechargement des règles de filtrage a été optimisé. Ces optimisations sont particulièrement sensibles dans les cas suivants :

  • Firewalls et clusters de firewalls prenant en charge un nombre très important de connexions,
  • Politiques de filtrage regroupant plusieurs centaines de règles,
  • Modifications d'alarmes liées à plusieurs protocoles réseau.

Référence support 64851

Le rechargement des règles de filtrage pouvait entraîner la suppression de connexions dont les connexions filles devenaient alors orphelines. Ce comportement a été modifié pour que ces connexions filles soient également supprimées.

 Référence support 64508

Les connexions qui transitaient par une règle de filtrage utilisant un objet temps, pouvaient se retrouver associées à une règle invalide suite à l'expiration de cet objet temps. Ce comportement a été corrigé.

 Référence support 64365

Le déploiement puis le repli d'un séparateur de règles étant considéré comme une modification de la politique de filtrage, l'enregistrement de cette modification entraînait un rechargement de la politique. Ce rechargement de politique n'est plus effectué.

Référence support 40421

L'identifiant de règle était identique pour toutes les règles implicites (0). Cet identifiant est devenu distinct pour chacune de ces règles.

Référence support 65227

Dans une configuration telle que :

• Du routage par politique de filtrage (PBR) était utilisé pour des flux sortants avec un routeur configuré en répartition de charge par adresse IP source,

• Les règles implicites pouvant autoriser ces flux étaient désactivées,

L'émission de paquets depuis le firewall via la commande réseau "tracert -s" pouvait provoquer un redémarrage de ce firewall. Ce problème a été corrigé.

Référence support 65990

L'assistant de création de règle d'inspection SSL ne permettait plus de préciser une interface source. Cette anomalie a été corrigée.

Portail d'authentification

Référence support 60488 - 60143

Le portail d'authentification (portail captif) était activé automatiquement sur tous les profils lors de la migration d'une configuration depuis la version 2.7 (ou 2.x) vers une version 3.x de firmware. Cette anomalie a été corrigée.

 

Proxies

Référence support 60134

L'accès à des sites utilisant un mécanisme de partage d'origine croisées (CORS : Cross-Origin Resource Sharing) depuis une machine multi-utilisateur ne permettait pas d'afficher les ressources externes du site visité. Ce problème a été corrigé en intégrant le champ Access-Control-Allow-Origin à la réponse du proxy.

 

Référence support 61499

La taille du cache réservé à la génération des certificats utilisés par le proxy SSL a été augmentée afin de corriger des problèmes de performances et de blocages possibles de ce proxy.

 

Référence support 60616 - 64504

Dans une configuration utilisant le proxy HTTP (proxy implicite ou proxy explicite) et soumise à des requêtes de type filtrage d'URL, des problèmes dans la gestion des requêtes HTTP multiples au sein d'une connexion ("pipelining HTTP") ont été corrigés.

Référence support 43089

Une anomalie dans l'affectation du profil d'inspection pour les règles de filtrage utilisant le proxy SSL a été corrigée.

 

Client NSRPC

Référence support 64100

Le client NSRPC pour plate-forme Microsoft se voyait refuser la connexion aux firewalls modèle SN160(W), SN210(W) et SN310. Ce problème a été corrigé.

 

Agent SNMP

Référence support 64135

L'émission volumineuse de notifications (traps) SNMP pouvait entraîner un blocage du service SNMP du firewall. Ce problème a été corrigé.

Référence support 59492

Les notifications SNMP non génériques correspondant aux événements système mineurs ou majeurs pouvaient ne pas être émises. Cette anomalie a été corrigée.

Référence support 64787

La description de l'OID snsHASyncStatus (STORMSHIELD-HA-MIB) était erronée (inversion des codes retour pour les états synchronisé / non synchronisé). Cette anomalie a été corrigée.

  

Cache DNS

Référence support 58819 - 58633

Lorsque le cache DNS était activé et utilisé par les réseaux protégés du firewall, la création ou la modification d'une interface protégée n'était pas répercutée dans la configuration de ce cache. Cette anomalie a été corrigée.

 

Agent SSO

Référence support 59778

La configuration d'un agent SSO de secours sans précision de mot de passe entraînait une erreur de fonctionnement du processus de gestion du portail d'authentification. Ce problème a été corrigé.

Référence support 59287

L'agent SSO installé sur un poste de travail Microsoft Windows pouvait transmettre au firewall soit le FQDN du domaine Microsoft Active Directory (nom de l'annuaire LDAP externe déclaré dans le firewall), soit son nom NETBIOS. Ce comportement, qui provoquait des problèmes d'authentification, a été modifié.

 

Référence support 61169

L'agent SSO installé sur un poste de travail Microsoft Windows pouvait envoyer au firewall un nom de domaine Microsoft Active Directory vide lors d'un changement d'adresse IP de ce poste. Ce comportement, qui provoquait des problèmes d'authentification, a été corrigé.

 

Référence support 64274

La connexion entre l'agent SSO et le firewall se fermait à intervalles réguliers lorsque le groupe d'utilisateurs défini dans la règle d'authentification était vide. Cette anomalie a été corrigée.

 

Référence support 53806

L'option avancée "Activer la vérification DNS des machines"permet de gérer les changements d'adresses IP des postes utilisateurs et d'authentifier un utilisateur connecté sur une machine disposant de plusieurs adresses IP.

VPN SSL

Référence support 65427 - 65392

La personnalisation du port d'écoute UDP du portail VPN SSL n'était pas prise en compte. Cette anomalie a été corrigée.

 

VPN SSL Portail

Référence support 60672

Lorsque le port utilisé pour l'authentification sur le firewall et le portail VPN SSL avait été modifié, la connexion au VPN SSL Portail via l'application Java Webstart échouait. Ce problème a été corrigé.

 

Référence support 59423

Les serveurs Web protégés par un firewall lui même derrière un équipement réalisant de la translation d'adresses (NAT) n'étaient pas joignables via le VPN SSL Portail, le client java essayant de se connecter à l'adresse privée du firewall. Ce comportement a été corrigé.

 

Référence support 60194

Le menu permettant de choisir la méthode de chargement des applications disponibles via VPN SSL Portail n'était disponible que lorsque des serveurs d'applications et des serveurs Web étaient définis. La méthode de chargement via l'applet java était alors automatiquement utilisée. Cette anomalie a été corrigée.

VPN IPSec

Référence support 59007

Le passage à la version 1 du protocole IKE d’un correspondant nomade défini à l'origine en IKEv2 avec un identifiant local (champ optionnel), et dont le tunnel était établi, provoquait un redémarrage en boucle du service de gestion des tunnels IKEv1. Ce problème a été corrigé.

Référence support 64496

L'établissement de tunnels en mode nomade au travers d'interfaces IPSec virtuelles (VTI) échouait, car l'interface source affectée était erronée (interface IPSec standard à la place de l'interface IPSec virtuelle). Ce problème a été corrigé.

VPN IPSec - IKEv1

Référence support 64766

Le moteur de gestion des tunnels IPSec IKEv1 ne prenait pas automatiquement en compte la modification d'un certificat (renouvellement) ou d'une autorité de certification. Cette anomalie a été corrigée.

VPN IPSec - IKEv2

Référence support 66110

Le schéma de ré-authentification "Make-before-break" utilisable pour les associations de sécurité (SA) n'était pas pris en compte s'il était uniquement défini dans les politiques IPSec globales. Cette anomalie a été corrigée.
Notez que ce schéma ne peut être activé qu'au travers du fichier de configuration du profil VPN actif (champ MakeBeforeBreak de la section "[Global]" du fichier ConfigFiles/Global/VPN/xx).

Sauvegardes automatiques

Référence support 65510

La méthode d'authentification Digest pour le mécanisme de sauvegardes automatiques vers un serveur personnalisé échouait. Ce problème a été corrigé.

Qualité de service

Référence support 59940

A la création d'une file d'attente, une limite trop basse de bande passante maximum n'était pas prise en compte bien qu'aucun avertissement ne soit affiché. La bande passante maximum saisie ne peut plus être inférieure à 100kbs.

Clé USB

Référence support 63996

Les clés USB formatées selon le système de fichiers FAT32 pouvaient ne pas être reconnues au démarrage sur les firewalls modèle SN150. Cette anomalie a été corrigée.

Réseau Wi-Fi

Référence support 59938

Les caractères "$" et "!" n'étaient pas acceptés pour définir une clé WPA2. Cette anomalie a été corrigée.

Journaux d'audit

Référence support 61232

Le message indiquant qu'un module d'alimentation était manquant pouvait être envoyé à tort pour les deux modules sur un firewall modèle SN6000. Ce problème a été corrigé.

 

Référence support 65456

Le champ représentant le numéro de protocole IP pour IPFIX prenait systématiquement la valeur "0" (zéro) dans les traces. Cette anomalie a été corrigée.

Supervision - Vue utilisateurs

Référence support 60441

Suite à une modification de la commande dans le firmware, le menu contextuel "Supprimer l'utilisateur de l'ASQ" n'était plus fonctionnel. Ce problème a été corrigé.

Prévention d'intrusion

Protocole HTTP

Référence support 59442 - 59639

Une liste blanche a été ajoutée dans la configuration du protocole HTTP. Cette liste permet de définir les champs d'en-tête de réponse du serveur pouvant dépasser la taille de 4096 octets (champ Content-Security-Policy par exemple).

Référence support 65504

Un problème dans le support des requêtes HTTP contenant un champ content-type de type text/vbscript a été corrigé.

Protocole EtherNet/IP

Référence support 64012

Lors du transport du protocole EtherNet/IP sur la couche UDP, les réponses aux requêtes de type ListIdentity, ListServices ou ListInterfaces pouvaient être considéres comme inadéquates et bloquées par une alarme du type "EtherNet/IP : protocole invalide". Cette anomalie a été corrigée.

Protocole UDP

Référence support 43718

Lorsque le serveur destinataire d'un flux UDP était momentanément indisponible, les nombreux messages ICMP de type "destinataire inaccessible" générés déclenchaient l'alarme bloquante "Message ICMP Invalide (replay)". Une alarme dédiée "ICMP replay (connexions UDP)" pouvant être mise en action "passer" a été créée.

Protocole Netbios - CIFS

Référence support 64007

Une connexion présentant plusieurs séquences de paquets non reçus et sur laquelle l'analyse de prévention d'intrusion avait débuté pouvait potentiellement entraîner un blocage du firewall.

IPv6

Référence support 59217

L'envoi de requêtes ICMP (Ping) à destination d'une interface du firewall paramétrée avec une adresse IPv6 échouait en provoquant l'alarme bloquante "Usurpation d'adresse IP (type=1)". Cette anomalie a été corrigée.

Protocole SIP

Référence support 61228

Lorsque les règles de filtrage pour les connexions SIP étaient en mode firewall ou lorsque l'alarme "Champ SDP nécessaire manquant dans le protocole SIP" était configurée avec l'action Passer, une connexion SIP dans laquelle un champ SDP (Session Description Protocol) était manquant (champ media par exemple) provoquait un blocage du moteur de prévention d'intrusion pour l'analyse du protocole SIP. Ce problème a été corrigé.

Utilisateurs

Référence support 64493

Un problème d'accès concurrentiel aux données concernant les utilisateurs pouvait entraîner une tentative de suppression d'un utilisateur déjà désauthentifié. Ce problème, qui pouvait potentiellement provoquer un blocage ou un redémarrage du firewall a été corrigé.

Protocoles générant des connexions filles

Référence support 65583

Dans une configuration soumise à un trafic élevé, un problème d'accès concurrentiels pour des flux engendrant de nombreuses connexions filles pouvait entraîner un blocage du firewall. Des améliorations ont été apportées dans la gestion de ces connexions et le nombre maximal de connexions filles générées pour une connexion peut être paramétré.

Interface Web d'administration

Relai DHCP

Référence support 51631

Bien qu'un bridge ne puisse pas être utilisé comme interface d'écoute pour un relai DHCP, l'interface Web d'administration présentait les bridges dans la liste des interfaces sélectionnables. Cette anomalie a été corrigée.

 

Authentification

Référence support 50899

Lors de l’ajout d’une règle d’authentification, un objet créé au sein de l’assistant n’était pas directement sélectionnable pour cette même règle. Cette anomalie a été corrigée.

 

Référence support 59996

Les modifications apportées à une politique d'authentification incluant les méthodes Agent SSO et SPNEGO n'étaient pas visibles lors d'un affichage ultérieur de cette politique d'authentification. Cette anomalie a été corrigée.

 

Objets

Référence support 64620

Lors de la vérification d'utilisation d'un objet, un clic sur le lien vers la politique de filtrage/NAT l'utilisant affichait systématiquement la politique de filtrage/NAT en cours d'utilisation. Cette anomalie a été corrigée.

 

Objets réseau

Référence support 59983

Lors de l'affichage du détail d'un objet réseau de type "Ports - Plages de ports", le nom de cet objet ne pouvait plus être modifié. Cette anomalie a été corrigée.

 

Filtrage et NAT

Référence support 60576

La sélection d'un séparateur de règles situé sous la barre inférieure de la dernière page de règles, et donc impliquant l'utilisation de l'ascenseur de fenêtre, ne fonctionnait pas correctement. Cette anomalie a été corrigée.

 

Configuration des annuaires

Référence support 59694

Après avoir affiché la configuration d'un annuaire LDAP externe utilisant un serveur de secours, le champ serveur de secours n'était pas effacé lors de l'affichage d'un annuaire LDAP n'utilisant pas cette fonctionnalité. Cette anomalie a été corrigée.

 

Journaux d'audit

Référence support 56667

L'affichage par groupe sur certaines colonnes (nom de la source, nom de la destination, nom du port source...) ne fonctionnait pas correctement. Cette anomalie a été corrigée.

Référence support 59272

Une anomalie dans la création de filtres avancés permettait d'ajouter un nouveau filtre sans que celui-ci ne s'applique aux traces affichées. De plus, un clic ultérieur sur le bouton Appliquer de ce filtre affichait à tort le message "Ce filtre existe déjà". Cette anomalie a été corrigée

 

Filtrage d'URL

Référence support 61237

Lorsque les noms de politiques de filtrage d'URL personnalisées commençaient par une chaîne de caractères identique, la sélection d'une de ces politiques au sein d'une règle de filtrage aboutissait systématiquement à la sélection de la première d'entre elles. Ce problème a été corrigé.

 

Routage

Référence support 64426

La sélection d'un périphérique de type clé USB/Modem comme passerelle pour une route statique ne pouvait pas être validée. Cette anomalie a été corrigée.

Objets multi-utilisateurs

Référence support 55877

Lors d'une connexion à l'interface Web d'administration avec le navigateur Microsoft Internet Explorer version 11, les ajouts d'objets multi-utilisateurs n'étaient pas pris en compte. Cette anomalie a été corrigée.

Mise en quarantaine

Référence support 63949

Lorsqu'une durée de quarantaine était positionnée à plus de 49 jours, la quarantaine effective se limitait à 17 jours et aucun message d'information n'était affiché. Pour des raisons techniques, la durée de quarantaine maximale a été limitée à 49 jours.

Microsoft Internet Explorer

Référence support 65187

L’utilisation du navigateur Microsoft Internet Explorer, y compris en version 11, pouvait rendre impossible l’affichage ou la modification de certains champs dans les modules de configuration. Pour un fonctionnement optimal de l'interface d'administration des firewalls, il est recommandé d'utiliser la dernière version des navigateurs Microsoft Edge, Google Chrome et Mozilla Firefox (version LTS - Long Term Support).

SN Real-Time Monitor

Vue Événements

Référence support 63848

Les dates affichées dans la vue Événements étaient formatées uniquement en heures et minutes. Les secondes y ont été ajoutées.

Vue Utilisateurs

Référence support 60441

Suite à une modification de la commande dans le firmware, le menu contextuel Supprimer l'utilisateur de l'ASQ n'était plus fonctionnel. Ce problème a été corrigé.

Référence support 61017 - 65779

La méthode affichée pour les utilisateurs authentifiés via un agent SSO sur un firewall en version 3 était incorrecte (inconnue). Cette anomalie a été corrigée.

Vue VPN SSL

Référence support 64785

La fonction permettant de mettre fin à un tunnel VPN SSL depuis l’interface de SN Real-Time Monitor (menu contextuel Supprimer ce tunnel dans l'onglet Tunnels VPN SSL) ne fonctionnait plus avec des firewalls SNS en version 3. Cette anomalie a été corrigée.

Référence support 64785

Suite à la migration d’un firewall en version 3.2.0, il n’était plus possible d’afficher les tunnels VPN SSL établis sur ce firewall (onglet Tunnels VPN SSL). Cette anomalie a été corrigée.

Vue Management de vulnérabilités

Référence support 59980

Un message « Impossible d’afficher l’aide en ligne (No help available) » était affiché lors de la sélection d’une vulnérabilité détectée. Cette anomalie a été corrigée.

Vue Active Update

Référence support 59543

Les informations de mise à jour de « Base de réputation IP publiques» et « Base de données des signatures contextuelles personnalisées » affichaient à tort l’avertissement « Pas de licence » dans la colonne des dates d’expiration. Ces fonctionnalités n’étant pas soumises à licence, cette anomalie a été corrigée et la mention <n/a> est affichée.

Vue d’ensemble

Référence support 59564

La colonne Antivirus, qui indiquait à tort la mention « Désactivé » lorsque le moteur antiviral Kaspersky était utilisé sur le firewall, a été masquée.

Administration du firewall

Référence support 64774 – 60480

Le menu Applications > Lancement de l’application d’administration et le bouton de connexion automatique (Vue d’ensemble) ne fonctionnaient plus avec un firewall dont le port d’administration avait été modifié (port HTTPS par défaut) car l’URL de connexion était erronée. Ce problème a été corrigé.

Lien vers la base de connaissances Stormshield

Référence support 64117

Le lien permettant de se connecter à la base de connaissances Stormshield (Security KB) ne fonctionnait pas.
Il est nécessaire de modifier ce lien (valeur correcte : https://securitykb.stormshield.eu/) dans le menu Fichier > Préférences > onglet Divers et de redémarrer l'application.