Correctifs de SNS 4.1.6
Système
Sauvegarde de configuration - Trusted Platform Module (TPM)
Référence support 79671
Lors d'une sauvegarde de configuration avec le paramètre privatekeys positionné à none (paramètre uniquement modifiable à l'aide de la commande CLI / Serverd : CONFIG BACKUP), les clés privées stockées en mode ondisk sur le TPM ne sont plus déchiffrées à tort.
Référence support 79671
Il n'est plus possible de lancer deux sauvegardes de configuration en même temps ou dans un laps de temps très court. Les clés privées stockées en mode ondisk sur le TPM ne sont ainsi plus déchiffrées à tort.
Filtrage et NAT
Référence support 79526
Lorsqu'un groupe contenait 128 objets ou plus dont au moins un avec une adresse MAC forcée, la règle utilisant ce groupe n'était plus jamais appliquée lorsqu'un flux lui correspondait. Ce problème a été corrigé.
Références support 80043 - 79636 - 80412 - 80376 - 79771
Lors de l'activation ou désactivation d'un objet temps, la réévaluation des connexions correspondant à la règle de filtrage contenant cet objet temps ne provoque plus un redémarrage inopiné du firewall.
Proxies
Références support 79957 - 80108
Dans une configuration utilisant de l'authentification multi-utilisateurs, le chargement complet d'une page Web intégrant une directive CSP (content-security-policy) pouvait dysfonctionner. Ce problème a été corrigé.
Référence support 81624
Dans une configuration utilisant de l'authentification multi-utilisateurs, la gestion des directives CSP (content-security-policy) de type "img-src https://*" provoquait un redémarrage inopiné du service proxy. Ce problème a été corrigé.
Référence support 79858
Un problème d'accès concurrentiel lors de l'enregistrement d'une nouvelle connexion par le proxy a été corrigé. Ce problème pouvait entraîner un arrêt inopiné du firewall et un changement de rôle des membres d'une configuration en haute disponibilité.
Proxy SMTP
Référence support 78196 - 79813 - 81759
Un redémarrage inopiné du proxy pouvait survenir suite à la mise en file d'attente d'un e-mail et de la réception d'une erreur SMTP 421 émise par le serveur. Ce problème a été corrigé.
Proxy HTTP
Référence support 79584
Dans une configuration possédant toutes les conditions suivantes :
- Le proxy HTTP est utilisé,
- L'antivirus Kaspersky est activé,
- Le filtrage d'URL est activé.
L'émission par un navigateur Internet de plusieurs requêtes HTTP contenues au sein d'une connexion TCP unique (pipelining) n'est plus susceptible de provoquer un redémarrage inopiné du service proxy.
Proxy SSL
Référence support 77207
Un redémarrage inopiné du proxy SSL pouvait intervenir lorsque toutes les conditions suivantes étaient réunies :
- Une politique de filtrage SSL appliquant une action "Passer sans déchiffrer" lorsqu'un CN n'a pas pu être classifié dans une catégorie,
-
Une première connexion correspond à cette règle (action "Passer sans déchiffrer") car la classification du CN échoue,
- Une connexion simultanée au même site voit sa classification aboutir sur une action "Bloquer sans déchiffrer".
Ce problème a été corrigé.
Haute disponibilité
Les erreurs survenant lors de la mise à jour du membre passif d'un cluster sont désormais correctement affichées dans l'interface Web d'administration du firewall.
Événements système
Référence support 80426
L'événement système n°19 : "LDAP inaccessible" se déclenche de nouveau en cas de problème d'accès à un annuaire LDAP défini dans la configuration du firewall.
Agent SNMP
Références support 77226 - 78235
L'OID "SNMPv2-MIB::sysObjectID.0", permettant d'identifier la nature de l'équipement interrogé, présentait la valeur par défaut liée à net-snmp au lieu de présenter la valeur propre à Stormshield. Cette anomalie a été corrigée.
Références support 80036 - 77779
Des problèmes de consommation mémoire excessive aboutissant à un arrêt inopiné du service Agent SNMP ont été corrigés.
Récupération régulière des CRL
Référence support 81259
Lorsqu'un proxy explicite avec un port réseau spécifique est défini sur le firewall, le mécanisme de récupération régulière des CRL utilise désormais correctement le port du proxy explicite pour accéder à Internet.
Annuaire LDAP - Serveur de secours
Référence support 80428
Dans une configuration LDAP(S) définie avec un serveur de secours, lorsque :
- Le firewall a basculé sur le serveur LDAP(S) de secours faute de réponse du serveur principal,
- Le serveur de secours ne répond pas à son tour.
Alors le firewall tente de se reconnecter immédiatement au serveur principal sans attendre le délai de 10 minutes défini en configuration d'usine.
Annuaire LDAP externe
Référence support 81531
Après la création d'un annuaire LDAP externe accessible via une connexion sécurisée, l'activation de l'option Vérifier le certificat selon une Autorité de certification et la sélection d'une CA de confiance n'aboutissent plus à une erreur interne du firewall.
Service de réputation des IP et de géolocalisation
Référence support 81048
Dans certains cas, le service de réputation des IP et de géolocalisation pouvait s'arrêter de manière inopinée à la suite d'un accès concurrentiel causé par un rechargement de configuration. Même s'il était redémarré automatiquement, une interruption du service pouvait alors survenir. Ce problème a été corrigé.
Référence support 77980
Une anomalie liée au service de réputation des IP et de géolocalisation pouvait provoquer une corruption de mémoire aboutissant à un redémarrage inopiné du firewall. Ce problème a été corrigé.
Réseau
Routage statique et VPN IPsec
Référence support 80862
Dans le cas d'une configuration VPN IPsec par politique (non VTI), lorsque une route statique était créée pour le réseau distant via l'interface IPsec, le trafic censé être chiffré et émis vers ce réseau ne l'était plus. Ce problème a été corrigé.
Bridge - Adresses MAC
Référence support 80652
Dans le cas d'interfaces rattachées à un bridge, lorsqu’un équipement réseau est déplacé et que le trafic réseau qu'il génère n'est plus lié à la même interface physique, le firewall associe automatiquement l'adresse MAC de l'équipement à la nouvelle interface dès réception d'une requête Gratuitous ARP issue du nouvel équipement.
Ce basculement n'était pas correctement pris en charge lorsque l'adresse MAC était différente après déplacement. Ce problème a été corrigé.
Prévention d'intrusion
Protocole SMB - CIFS
Références support 77484 - 77166
Des anomalies dans l'analyse protocolaire SMB - CIFS pouvaient provoquer à tort l'alarme bloquante "Protocole NBSS/SMB invalide" (alarme nb-cifs:158) lors d'un accès légitime à une ressource disque partagée Microsoft Windows. Ces anomalies ont été corrigées.
Machines virtuelles
Numéros de série des firewalls VPAYG
Référence support 76157
Les numéros de série des firewalls VPAYG (numéro de série du firewall auquel est ajoutée une extension de type "-XXXXXXXX") n'étaient pas reconnus par le mécanisme de supervision de la haute disponibilité. Ce problème a été corrigé.
Matériel
Configuration par clé USB
Références support 79645 - 79283
Lors de la configuration d'un firewall à l'aide d'une clé USB, un message d'information est désormais affiché en console et un délai d'attente de deux minutes est initié lorsqu'il est nécessaire de retirer la clé USB pour continuer les opérations en cours (mise à jour de firmware, rattachement d'un firewall à un cluster). Le retrait de la clé USB interrompt ce compteur.
Ce mécanisme permet d'éviter les erreurs de déchiffrement de clés sur les firewalls disposant d'un TPM (SN3100, SNi20).
Interface Web d'administration
Filtrage et NAT - Géolocalisation et Réputation des adresses IP publiques
Référence support 80980
Lorsqu'un groupe géographique ou un groupe de réputation d'adresses IP publiques est utilisé dans une règle de filtrage / NAT, l'info bulle affichée au survol de ce groupe n'indique plus à tort le message "Objet non trouvé".