Correctifs de la version 4.1.6

Système

Sauvegarde de configuration - Trusted Platform Module (TPM)

Référence support 79671

Lors d'une sauvegarde de configuration avec le paramètre privatekeys positionné à none (paramètre uniquement modifiable à l'aide de la commande CLI / Serverd : CONFIG BACKUP), les clés privées stockées en mode ondisk sur le TPM ne sont plus déchiffrées à tort.

Référence support 79671

Il n'est plus possible de lancer deux sauvegardes de configuration en même temps ou dans un laps de temps très court. Les clés privées stockées en mode ondisk sur le TPM ne sont ainsi plus déchiffrées à tort.

Filtrage et NAT

Référence support 79526

Lorsqu'un groupe contenait 128 objets ou plus dont au moins un avec une adresse MAC forcée, la règle utilisant ce groupe n'était plus jamais appliquée lorsqu'un flux lui correspondait. Ce problème a été corrigé.

Références support 80043 - 79636 - 80412 - 80376 - 79771

Lors de l'activation ou désactivation d'un objet temps, la réévaluation des connexions correspondant à la règle de filtrage contenant cet objet temps ne provoque plus un redémarrage inopiné du firewall.

Proxies

Références support 79957 - 80108

Dans une configuration utilisant de l'authentification multi-utilisateurs, le chargement complet d'une page Web intégrant une directive CSP (content-security-policy) pouvait dysfonctionner. Ce problème a été corrigé.

Référence support 81624

Dans une configuration utilisant de l'authentification multi-utilisateurs, la gestion des directives CSP (content-security-policy) de type "img-src https://*" provoquait un redémarrage inopiné du service proxy. Ce problème a été corrigé.

Référence support 79858

Un problème d'accès concurrentiel lors de l'enregistrement d'une nouvelle connexion par le proxy a été corrigé. Ce problème pouvait entraîner un arrêt inopiné du firewall et un changement de rôle des membres d'une configuration en haute disponibilité.

Proxy SMTP

Référence support 78196 - 79813 - 81759

Un redémarrage inopiné du proxy pouvait survenir suite à la mise en file d'attente d'un e-mail et de la réception d'une erreur SMTP 421 émise par le serveur. Ce problème a été corrigé.

Proxy HTTP

Référence support 79584

Dans une configuration possédant toutes les conditions suivantes :

  • Le proxy HTTP est utilisé,
  • L'antivirus Kaspersky est activé,
  • Le filtrage d'URL est activé.

L'émission par un navigateur Internet de plusieurs requêtes HTTP contenues au sein d'une connexion TCP unique (pipelining) n'est plus susceptible de provoquer un redémarrage inopiné du service proxy.

Proxy SSL

Référence support 77207

Un redémarrage inopiné du proxy SSL pouvait intervenir lorsque toutes les conditions suivantes étaient réunies :

  • Une politique de filtrage SSL appliquant une action "Passer sans déchiffrer" lorsqu'un CN n'a pas pu être classifié dans une catégorie,
  • Une première connexion correspond à cette règle (action "Passer sans déchiffrer") car la classification du CN échoue,

  • Une connexion simultanée au même site voit sa classification aboutir sur une action "Bloquer sans déchiffrer".

Ce problème a été corrigé.

Haute disponibilité

Les erreurs survenant lors de la mise à jour du membre passif d'un cluster sont désormais correctement affichées dans l'interface Web d'administration du firewall.

Événements système

Référence support 80426

L'événement système n°19 : "LDAP inaccessible" se déclenche de nouveau en cas de problème d'accès à un annuaire LDAP défini dans la configuration du firewall.

Agent SNMP

Références support 77226 - 78235

L'OID "SNMPv2-MIB::sysObjectID.0", permettant d'identifier la nature de l'équipement interrogé, présentait la valeur par défaut liée à net-snmp au lieu de présenter la valeur propre à Stormshield. Cette anomalie a été corrigée.

Références support 80036 - 77779

Des problèmes de consommation mémoire excessive aboutissant à un arrêt inopiné du service Agent SNMP ont été corrigés.

Récupération régulière des CRL

Référence support 81259

Lorsqu'un proxy explicite avec un port réseau spécifique est défini sur le firewall, le mécanisme de récupération régulière des CRL utilise désormais correctement le port du proxy explicite pour accéder à Internet.

Annuaire LDAP - Serveur de secours

Référence support 80428

Dans une configuration LDAP(S) définie avec un serveur de secours, lorsque :

  • Le firewall a basculé sur le serveur LDAP(S) de secours faute de réponse du serveur principal,
  • Le serveur de secours ne répond pas à son tour.

Alors le firewall tente de se reconnecter immédiatement au serveur principal sans attendre le délai de 10 minutes défini en configuration d'usine.

Annuaire LDAP externe

Référence support 81531

Après la création d'un annuaire LDAP externe accessible via une connexion sécurisée, l'activation de l'option Vérifier le certificat selon une Autorité de certification et la sélection d'une CA de confiance n'aboutissent plus à une erreur interne du firewall.

Service de réputation des IP et de géolocalisation

Référence support 81048

Dans certains cas, le service de réputation des IP et de géolocalisation pouvait s'arrêter de manière inopinée à la suite d'un accès concurrentiel causé par un rechargement de configuration. Même s'il était redémarré automatiquement, une interruption du service pouvait alors survenir. Ce problème a été corrigé.

Référence support 77980

Une anomalie liée au service de réputation des IP et de géolocalisation pouvait provoquer une corruption de mémoire aboutissant à un redémarrage inopiné du firewall. Ce problème a été corrigé.

Réseau

Routage statique et VPN IPSec

Référence support 80862

Dans le cas d'une configuration VPN IPsec par politique (non VTI), lorsque une route statique était créée pour le réseau distant via l'interface IPsec, le trafic censé être chiffré et émis vers ce réseau ne l'était plus. Ce problème a été corrigé.

Bridge - Adresses MAC

Référence support 80652

Dans le cas d'interfaces rattachées à un bridge, lorsqu’un équipement réseau est déplacé et que le trafic réseau qu'il génère n'est plus lié à la même interface physique, le firewall associe automatiquement l'adresse MAC de l'équipement à la nouvelle interface dès réception d'une requête Gratuitous ARP issue du nouvel équipement.

Ce basculement n'était pas correctement pris en charge lorsque l'adresse MAC était différente après déplacement. Ce problème a été corrigé.

Prévention d'intrusion

Protocole SMB - CIFS

Références support 77484 - 77166

Des anomalies dans l'analyse protocolaire SMB - CIFS pouvaient provoquer à tort l'alarme bloquante "Protocole NBSS/SMB invalide" (alarme nb-cifs:158) lors d'un accès légitime à une ressource disque partagée Microsoft Windows. Ces anomalies ont été corrigées.

Machines virtuelles

Numéros de série des firewalls VPAYG

Référence support 76157

Les numéros de série des firewalls VPAYG (numéro de série du firewall auquel est ajoutée une extension de type "-XXXXXXXX") n'étaient pas reconnus par le mécanisme de supervision de la haute disponibilité. Ce problème a été corrigé.

Matériel

Configuration par clé USB

Références support 79645 - 79283

Lors de la configuration d'un firewall à l'aide d'une clé USB, un message d'information est désormais affiché en console et un délai d'attente de deux minutes est initié lorsqu'il est nécessaire de retirer la clé USB pour continuer les opérations en cours (mise à jour de firmware, rattachement d'un firewall à un cluster). Le retrait de la clé USB interrompt ce compteur.

Ce mécanisme permet d'éviter les erreurs de déchiffrement de clés sur les firewalls disposant d'un TPM (SN3100, SNi20).

Interface Web d'administration

Filtrage et NAT - Géolocalisation et Réputation des adresses IP publiques

Référence support 80980

Lorsqu'un groupe géographique ou un groupe de réputation d'adresses IP publiques est utilisé dans une règle de filtrage / NAT, l'info bulle affichée au survol de ce groupe n'indique plus à tort le message "Objet non trouvé".