Correctifs de SNS 4.0.2

Système

Proxy SSL

Référence support 74927

Afin d'éviter des problèmes de compatibilité avec certains logiciels embarqués ou certains navigateurs (sous iOS 13 et MacOS 10.15) lors des connexions SSL, la taille des clés de certificats générés par le proxy SSL a été augmentée à 2048 bits.

Référence support 74427

En cas d'expiration de l'autorité de certification du proxy SSL, le firewall ne tente plus de générer inutilement de nouvelles clés lors de certains événements (rechargement de la politique de filtrage, rechargement de configuration réseau, changement de date du firewall...), ce qui entraînait une consommation CPU excessive.

Proxies

Références support 66508 - 71870

Sous forte charge, le proxy pouvait s'arrêter à l'échec d'une analyse d'entête HTTP. Ce problème a été corrigé.

Référence support 71870

Le proxy ne s'arrête plus de manière inopinée lorsque le proxy SSL est utilisé et que le nombre de connexions simultanées maximum est atteint sur le firewall.

Références support 70721 - 74552 - 75874

La consommation de la mémoire en cas d'utilisation du proxy a été optimisée.

Proxy - Filtrage d'URL

Référence support 73516

Le proxy HTTP/HTTPS pouvait perdre la connexion avec le moteur de filtrage d'URL de la solution Extended Web Control, provoquant l'affichage de la page d'information URL filtering is pending aux clients dont les connexions utilisaient le proxy. Ce problème a été corrigé.

Filtrage et NAT

Références support 76343 - 76231

La présence de plusieurs règles successives utilisant un objet commun n'empêche plus le rechargement de la politique de filtrage.

VPN IPsec

Références support 74551 - 74456

Une anomalie dans le fonctionnement de la fonction key_dup_keymsg() d'IPsec provoquant l'erreur Cannot access memory at address et entraînant un arrêt inopiné du firewall a été corrigée.

Référence support 74425

Un paramètre pouvait empêcher le mode ResponderOnly de fonctionner correctement lorsque le mécanisme de Dead-Peer-Detection (DPD) s'activait. Cette anomalie a été corrigée.

VPN IPsec (IKEv2 / IKEv1+IKEv2)

Référence support 68796

Dans une configuration utilisant une politique IPsec IKEv2 ou mixant IKEv1 et IKEv2, le firewall n'envoyait pas de masque réseau au client VPN IPsec Stormshield lors de l'établissement d'un tunnel mobile (nomade) en mode config. Le masque réseau choisi arbitrairement par le client IPsec pouvait alors entrer en conflit avec la configuration de réseau local du poste client.

Le firewall envoie désormais systématiquement le masque réseau /32 (255.255.255.255) au client VPN IPsec pour un tunnel mobile (nomade) en mode config.

Objets machine globaux inclus dans un objet routeur

Référence support 71974

Le renommage d'un objet machine global inclus dans un objet routeur est désormais correctement pris en compte au sein de cet objet routeur.

Certificats et PKI

Référence support 76048

Les espaces présents dans le chemin d'import d'une Autorité de Certification sont désormais correctement interprétés et ne bloquent plus cet import.

Mode ANSSI "Diffusion Restreinte"

Lors de l'activation du mode ANSSI "Diffusion Restreinte" (module Système > Configuration > onglet Configuration générale), un mécanisme vérifie la compatibilité des groupes Diffie-Hellmann (DH) utilisés dans la configuration des correspondants IPsec avec ce mode. Cette liste de groupes DH autorisés a été mise à jour et seuls les groupes DH 19 et 28 doivent être utilisés.

Consommation mémoire excessive du démon Serverd

Références support 76158 - 75155

La consommation mémoire du démon Serverd augmentait de façon excessive avec le nombre de connexions distantes établies via SMC. Ce phénomène, pouvant déboucher sur l'impossibilité d'établir une connexion à l'interface Web d'administration du firewall, a été corrigé.

Analyse Sandboxing

Référence support 76121

En l'absence d'une licence d'analyses Sandboxing (option Stormshield Breach Fighter) ou lorsque cette licence est expirée, une tentative de rechargement de sa configuration par le moteur de gestion des analyses Sandboxing (démon AVD) ne provoque plus l'arrêt inopiné de ce dernier.

Réseau

Routage statique

Référence support 72938

L’usage de directives de routage par politique (PBR) est désormais prioritaire par rapport au choix de préserver le routage initial sur l’interface d’entrée d’un bridge. Cette nouvelle priorité ne s'applique pas aux réponses DHCP lorsque l'IPS ajoute automatiquement de préserver le routage initial.

Référence support 72508

Un objet routeur avec répartition de charge configuré en tant que passerelle par défaut sur le firewall pouvait outrepasser une route statique. Ce phénomène initiait depuis le firewall des connexions avec une adresse IP source incorrecte. Cette anomalie a été corrigée.

Trusted Platform Module (TPM)

Référence support 76181

La récupération d'une clé de chiffrement stockée sur le TPM par le moteur de gestion des tunnels IPsec IKE2 / IKEv1+IKEv2 ne provoque plus de fuite mémoire.

Prévention d'intrusion

Protocole SIP

Référence support 75997

Lorsqu'un paquet SIP émis ainsi que sa réponse contenaient un champ avec une adresse IP anonyme et que l'alarme 465 "SIP : Adresse anonyme dans la connexion SDP" était configurée en "Autoriser", le firewall redémarrait de manière inopinée. Cette anomalie a été corrigée.

Protocole SNMPv3

Référence support 72984

L'analyse protocolaire SNMP ne déclenche plus à tort l'alarme "nom d'utilisateur SNMP interdit" (snmp:393) pour les identifiants spécifiés dans la liste blanche du protocole SNMPv3.

Trusted Platform Module (TPM)

Référence support 76181

Dans certains cas, une anomalie dans une fonction pouvait amener à une pénurie de handle (ou identifiant d'objet) utilisé notamment pour s'authentifier sur le TPM, empêchant alors de communiquer avec ce dernier. Cette anomalie a été corrigée.

Firewalls virtuels EVA

Commandes CLI / Serverd

La commande CLI / Serverd MONITOR HEALTH exécutée sur un firewall virtuel EVA retourne désormais la valeur N/A pour les modules physiques absents (Ventilateur, Disque...), au lieu de la valeur Unknown qui provoquait une anomalie sur les consoles d'administration SMC.

Interface Web d'administration

Portail d'authentification (portail captif)

Référence support 76398

Le focus n'est plus positionné par défaut sur la valeur Annuler de l'écran de connexion du portail captif. Un appui sur la touche [Entrée] du clavier après la saisie de l'identifiant et du mot de passe associé ne provoque donc plus une déconnexion inappropriée de l'utilisateur.