Correctifs de la version 3.5.0

Système

Haute Disponibilité

Référence support 65701 - 65946

Un problème d'accès concurrentiel au fichier de suivi de la haute disponibilité entraînait la suppression inopinée du champ syncid de ce fichier. L’absence de ce champ provoquait alors des synchronisations de configuration à répétition entre les membres du cluster. Ce problème a été corrigé.

Référence support 66802

Dans un cluster présentant une différence de qualité ou une priorité définie, un redémarrage du firewall prioritaire ou avec la qualité la plus élevée entraînait la reprise immédiate de son rôle de firewall actif sans synchroniser complètement les informations. Ceci a été corrigé en ajoutant une temporisation permettant la synchronisation avant le changement de rôle. Cette temporisation, fixée par défaut à 15 secondes, est uniquement modifiable à l'aide des lignes de commande CONFIG HA CREATE et CONFIG HA UPDATE. Le détail de ces commandes est disponible dans le document CLI SERVERD Commands Reference Guide.

Référence support 67553

Après un swap HA, les requêtes ARP gratuites émises par le nouveau membre actif du cluster SNS pouvaient être ignorées par les équipements réseau d'autres constructeurs du fait d'une anomalie dans le format de ces requêtes (RFC 5944). Cette anomalie a été corrigée.

Référence support 67776

L'indicateur de qualité de la haute disponibilité était faussé lorsqu'une carte SD était insérée dans l'un des membres du cluster. Ce problème a été corrigé.

Référence support 67832

Une anomalie dans le fonctionnement du mécanisme de suivi de la haute disponibilité, qui pouvait entraîner une consommation mémoire excessive, a été corrigée.

Qualité de service

Référence support 67879

Lors de la mise en place d'une réservation ou limitation de bande passante (CBQ), la bande passante effective était largement inférieure à la limitation de bande passante configurée. Ce problème a été corrigé.

Configuration - Paramètres réseau

Référence support 58987

Un firewall pour lequel aucun serveur DNS n'était déclaré pour assurer sa propre résolution de noms redémarrait en boucle lors de l'application d'une mise à jour de firmware. Ce problème a été corrigé.

Authentification

Références support 64844 - 65776

Une anomalie dans la gestion du compteur de tentatives d'attaque par force brute pouvait entraîner un refus d'authentification pour un utilisateur légitime. Cette anomalie a été corrigée.

Restauration de configuration

Référence support 58925

Une anomalie dans le contrôle de validité d'un fichier de restauration de configuration a été corrigée.

Filtrage et NAT

Référence support 67922

Dans une règle regroupant un nombre conséquent d'objets, la tentative d'ajout d'un objet supplémentaire (source, destination, port...) entraînait une déconnexion de l'interface Web d'administration.

Filtrage et NAT - Politique globale

Référence support 66325

Le changement de port du proxy HTTP explicite n'était pas pris en compte dans la génération des règles de filtrage globales. Cette anomalie a été a été corrigée.

Proxies

Référence support 66653

L'émission par le proxy de paquets à destination d'un serveur ICAP au travers d'une règle de filtrage en mode Firewall générait des problèmes de latence pour la consultation des sites Web. Ce problème a été corrigé.

Référence support 67713 - 67924

Lors de l'initialisation du mécanisme de journalisation (logs) du proxy SMTP, la vérification de l'existence d'une politique de filtrage active pouvait entraîner un blocage du proxy SMTP.

VPN SSL - UDP

Référence support 67293

Le service SSL VPN sur UDP pouvait ne pas fonctionner dans le cas de configurations disposant de plusieurs passerelles d'accès à Internet ou de plusieurs adresses IP sur une même interface. Pour résoudre ces problèmes, un champ permettant de définir l'adresse IP d'écoute du service sur UDP a été ajouté dans le module VPN > VPN SSL.

Référence support 66315

Le bouton Exporter le fichier de configuration permettait d'exporter une archive contenant la configuration du serveur. Cette archive n'étant pas exploitable, elle a été remplacée par une archive contenant la configuration typique du client (CA VPN SSL et certificat serveur, configuration réseau pour le client et le client mobile), comme celle disponible sur le portail d'authentification.

Analyse Sandboxing

Références support 57407

Suite à un redémarrage du firewall, les fichiers pouvaient ne plus être transmis pour l'analyse Sandboxing (Breach Fighter). Ce problème a été corrigé.

Réseau

Relai DHCP

Référence support 66767

Dans une configuration utilisant le relai DHCP, l'activation des interfaces Wi-Fi pouvait empêcher le relai des requêtes DHCP issues de ces interfaces Wi-Fi. Ce problème a été corrigé.

Interfaces

Référence support 58822

Dans une configuration telle que :

  • Plusieurs interfaces non protégées sont incluses dans un bridge,
  • Une route statique sort d'une de ces interfaces non protégées (autre que la première).

Les premiers paquets réseau devant utiliser la route statique étaient envoyés à tort vers la première interface non protégée du bridge.

Bien que ce problème ait été corrigé, veuillez noter que le cas décrit dans cette configuration n'est pas supporté (cf. Précisions sur les cas d'utilisation > Réseau > Interfaces).

Prévention d'intrusion

Protocole HTTP

Référence support 65592

Les en-têtes HTTP "Content-Security-Policy" et "Authorization: NTLM" susceptibles de déclencher l'alarme bloquante "Débordement dans le protocole HTTP" ne pouvaient être configurés qu'en ligne de commande. Ils ont été ajoutés dans le panneau de configuration de la Taille maximale des champs HTTP (Protection applicative > Protocoles > HTTP > Configuration avancée).

Références support 65250 - 65820

L’utilisation du proxy HTTP implicite combinée à l’activation de l’option Appliquer la règle de NAT sur le trafic analysé (menu Protection applicative > Protocoles > HTTP > Accéder à la configuration globale > Proxy) générait une quantité très importante de messages d’erreur à destination du port console (messages du type « XXX already released without rule YYYY»). La tentative d’affichage de ces nombreux messages provoquait une consommation CPU excessive et pouvait entraîner un blocage du firewall.

Protocole ICMP

Référence support 65930

L'alarme "Message ICMP Invalide" pouvait être déclenchée à tort lors du passage d'un paquet ICMP légitime sur un firewall ayant des tunnels IPSec déclarés. Cette anomalie a été corrigée.

Protocole S7

Référence support 67764

Le trafic S7 chiffré ne pouvant pas être analysé, les paquets étaient bloqués à tort par le déclenchement d'une alarme ("S7 : réponse sans requête correspondante" ou "S7 : protocole invalide"). Cette anomalie a été corrigée.

Paquets fragmentés

Références support 66850 - 66719

Une anomalie dans la gestion des paquets fragmentés pouvait entraîner à tort un blocage du premier fragment. Cette anomalie a été corrigée.

Mode IDS / Firewall

Référence support 65120

Dans une configuration telle que :

  • Le firewall utilisait des règles de filtrage en mode IDS ou Firewall,
  • Le proxy HTTP transparent était activé.

Une anomalie dans la gestion de la translation d'adresses pouvait entraîner un mélange des connexions présentant une même adresse IP source et un même port source. Cette anomalie a été corrigée.

Machines virtuelles

Microsoft Hyper-V

Références support 66627 - 67132

Sur une plate-forme Microsoft Hyper-V, une machine virtuelle disposant de plusieurs interfaces réseau pouvait rencontrer des problèmes d’activation de ses dernières interfaces après redémarrage. Ce problème a été corrigé.

Notifications

Alertes e-mail

Références support 66708 - 66782

Les e-mails de notification envoyés à l'aide du protocole STARTTLS étaient tronqués. Cette anomalie a été corrigée.

Agent SNMP

Référence support 67726

L'OID hrStorageType incluse dans la MIB "HOST-RESOURCES-MIB" ne retournait plus de résultats aux requêtes SNMP. Cette anomalie a été corrigée.

Matériel

Horloge du firewall

Référence support 58901

Lorsque la pile gérant l'horloge du firewall tombait en panne, celui-ci adoptait une date aléatoire à chaque démarrage. Si cette date était située avant la date de validité de la licence de l'équipement, le firewall redémarrait sans interruption. Cette anomalie a été corrigée.

Interface Web d'administration

Réseau Wi-Fi

Références support 65333 - 68006

L'interface Web d'administration refusait à tort l'utilisation des caractères spéciaux (point, tiret ...) pour définir le nom d'un réseau Wi-Fi (SSID). Cette anomalie a été corrigée.

Pour rappel, seul le caractère " est interdit dans ce champ.

VPN IPSec

Référence support 67688

Lorsqu'un identifiant de correspondant avait été défini pour un correspondant IPSec, cet identifiant ne pouvait plus être supprimé via l'interface Web d'administration. Ce problème a été corrigé.

Supervision de la QoS

Référence support 66587

Les données affichées dans les courbes de supervision de la QoS (Temps réel / Historique) ne correspondaient pas aux files d'attentes sélectionnées. Cette anomalie a été corrigée.

Journaux d'audit (logs)

Référence support 66838

Lorsqu'un nom de règle avait été spécifié pour une règle de filtrage, ce nom n'apparaissait pas dans la colonne Nom de règle du journal des connexions. Cette anomalie a été corrigée.

Référence support 67018

En mode Recherche avancée, glisser / déposer une adresse IP issue des colonnes Nom de la source ou Nom de la destination dans les critères de filtrage aboutissait à l'affichage d'une page vide de données. Cette anomalie a été corrigée.

Certificats

Références support 59271 - 66735 - 64509

Suite à l'import d'un certificat au format PKCS12 (incluant la chaîne complète de certification), celui-ci n'apparaissait pas dans la liste des certificats sélectionnables pour un correspondant VPN IPSec. Cette anomalie a été corrigée.

Traces - Syslog - IPFix

Référence support 67475

La jauge d'avancement du formatage d'un périphérique amovible (carte SD) ne disparaissait pas une fois l'opération terminée. Cette anomalie a été corrigée.

Authentification

Référence support 67256

L'interface sslvpn ne pouvait plus être sélectionnée dans la grille de correspondance entre profils d'authentification et interfaces. Cette anomalie a été corrigée.

Référence support 67587 - 67985

Lorsque la case Toujours afficher les éléments de configuration avancée présente dans les Préférences du firewall n'était pas cochée, les boutons de sélection de fichier de configuration proxy, de logo ou de feuille de style (menu Authentification > onglet Portail captif > Configuration avancée) n'étaient plus affichés sous Mozilla Firefox. Cette anomalie a été corrigée.

Référence support 68097

Titre

Le terme Debug était systématiquement présent dans l'onglet du navigateur affichant l'interface Web d'administration. Cette anomalie a été corrigée.

Objets réseau

Référence support 68250

Lors de la vérification d'utilisation d'un objet réseau, l'information affichée indiquait le numéro de ligne dans la politique de filtrage (incluant donc les séparateurs) plutôt que le numéro de la règle de filtrage utilisant l'objet. Cette anomalie a été corrigée.

Stormshield Network Real-Time Monitor

Vue machines

Référence support 67297

Depuis la version 3.3 de SNRTM, les statistiques des machines internes traversant un firewall Stormshield v2 n'étaient plus affichées. Cette anomalie a été corrigée.
Notez que les statistiques concernant les machines situées derrière des interfaces non protégées sont affichées pour les firewalls dont la version de firmware est comprise entre 3.0 et 3.2.1.