Correctifs de SNS 4.2.1

Système

Sauvegarde de configuration - Trusted Platform Module (TPM)

Référence support 79671

Lors d'une sauvegarde de configuration avec le paramètre privatekeys positionné à none (paramètre uniquement modifiable à l'aide de la commande CLI / Serverd : CONFIG BACKUP), les clés privées stockées en mode ondisk sur le TPM ne sont plus déchiffrées à tort.

Référence support 79671

Il n'est plus possible de lancer deux sauvegardes de configuration en même temps ou dans un laps de temps très court. Les clés privées stockées en mode ondisk sur le TPM ne sont ainsi plus déchiffrées à tort.

Haute disponibilité

Sur les configurations en haute disponibilité, une optimisation a été apportée à l'option Redémarrer toutes les interfaces pendant le basculement (à l'exception des interfaces HA), destinée à indiquer aux équipements tiers de connexion réseau (commutateurs,...) tout changement de rôle au sein du cluster. Cette option n'est en effet plus activée sur des agrégats de liens lorsque la case Activer l'agrégation de liens lorsque le firewall est passif est cochée.

En savoir plus

Les erreurs survenant lors de la mise à jour du membre passif d'un cluster sont désormais correctement affichées dans l'interface Web d'administration du firewall

Haute disponibilité - Clés SSH

Lors du passage à une version SNS antérieure (accompagné d'une remise en configuration d'usine du firewall) d'une configuration en haute disponibilité générée en version 4.2, les clés SSH du cluster sont désormais correctement supprimées.

Haute disponibilité - Annuaire LDAP

Référence support 78461

Une anomalie dans la synchronisation des données LDAP, liée à une mauvaise gestion du caractère spécial "\" potentiellement présent dans le mot de passe d'accès à l'annuaire, rendait cet annuaire LDAP inopérant. Cette anomalie a été corrigée.

Haute disponibilité - Synchronisation des objets

Référence support 77441

Le mécanisme de synchronisation des objets entre les membres du cluster cessait de fonctionner lorsque le serveur DNS utilisé pour résoudre les objets de type FQDN n'acceptait pas les requêtes DNS basées sur TCP. Cette anomalie a été corrigée.

Proxies

Référence support 79204

Des problèmes de fuites mémoire dans les proxies ont été corrigés.

Références support 79957 - 80108 - 79952

Dans une configuration utilisant de l'authentification multi-utilisateurs, le chargement complet d'une page Web intégrant une directive CSP (content-security-policy) pouvait dysfonctionner. Cette anomalie a été corrigée.

Référence support 79858

Un problème d'accès concurrentiel lors de l'enregistrement d'une nouvelle connexion par le proxy a été corrigé. Ce problème pouvait entraîner un arrêt inopiné du firewall et un changement de rôle des membres d'une configuration en haute disponibilité.

Proxy SMTP

Référence support 78196

Un redémarrage inopiné du proxy pouvait survenir suite à la mise en file d'attente d'un e-mail et de la réception d'une erreur SMTP 421 émise par le serveur. Cette anomalie a été corrigée.

Référence support 77586

L'activation du proxy SMTP, associée au déchiffrement SSL des flux sortants et à l'analyse antivirale sur le trafic SMTP (avec l'action Passer sans analyser pour les options Lorsque l'antivirus ne peut analyser et Lorsque la collecte de données échoue du paramétrage de l'analyse protocolaire SMTP) ne provoque plus à tort la journalisation multiple des mêmes événements dans le fichier l_smtp.

Proxy HTTP

Référence support 79584

Dans une configuration possédant toutes les conditions suivantes :

  • Le proxy HTTP est utilisé,
  • L'antivirus Kaspersky est activé,
  • Le filtrage d'URL est activé.

L'émission par un navigateur Internet de plusieurs requêtes HTTP contenues au sein d'une connexion TCP unique (pipelining) n'est plus susceptible de provoquer un redémarrage inopiné du service proxy.

Agent SNMP

Références support 77226 - 78235

L'OID "SNMPv2-MIB::sysObjectID.0", permettant d'identifier la nature de l'équipement interrogé, présentait la valeur par défaut liée à net-snmp au lieu de présenter la valeur propre à Stormshield. Cette anomalie a été corrigée.

Références support 77787 - 78693 - 77779 - 78164 - 78967

Des problèmes de consommation mémoire excessive aboutissant à un arrêt inopiné du service Agent SNMP ont été corrigés.

Référence support 78761

Les messages SNMP informRequest sont désormais considérés comme une requête SNMP valide et ne génèrent plus l'alarme bloquante "Protocole SNMP invalide" (snmp:388).

Configuration des annuaires

Références support 70940 - 71329 - 75280 - 77783

La longueur maximale de la chaîne de caractères représentant le sujet du certificat importé pour autoriser la connexion SSL à l'annuaire LDAP interne a été portée de 128 à 256 caractères.

VPN IPsec

Références support 78593 - 73609

Pour les topologies IPsec déployées via SMC, les certificats des correspondants n'étaient pas affichés dans la configuration IPsec du firewall.

Ce problème, qui pouvait inciter un administrateur à sélectionner de nouveau un certificat pour le correspondant, rendant alors la configuration IPsec inopérante, a été corrigé.

VPN IPsec - Règles de filtrage implicite

Référence support 77096

La règle de filtrage implicite "Autoriser ISAKMP (port 500 UDP) et le protocole ESP pour les correspondants VPN IPsec" autorise désormais le trafic IPsec initialisé par des interfaces internes de type loopback.

VPN IPsec - Nom de correspondant

Un nom de correspondant de plus de 44 caractères n’empêche plus l'établissement du tunnel IPsec concerné.

Réputation des machines

Référence support 77080

La présence d'un objet invalide dans la liste des machines dont la réputation est supervisée ne provoque plus une erreur système lors d'une tentative de rechargement du proxy.

En savoir plus

Filtrage et NAT

Référence support 78647

L'export au format CSV des règles de filtrage / NAT générait à tort une valeur "Any" pour le champ "#nat_to_target" du fichier d'export, dans le cas où une règle de filtrage n'était associée à aucune règle de NAT. Cette anomalie empêchait alors l'import de ce fichier CSV dans SMC si la règle de filtrage concernée avait pour action "Bloquer".

Référence support 76700

En cas d'erreur de configuration au sein de la politique de filtrage, le firewall ne chargeait aucune règle de filtrage (y compris implicite) lors d'un redémarrage et bloquait donc tous les flux. Ce problème, qui imposait alors d'accéder en console série / VGA au firewall afin d'activer une politique fonctionnelle, a été corrigé.

Référence support 79526

Lorsqu'un groupe contenait 128 objets ou plus dont au moins un avec une adresse MAC forcée, la règle utilisant ce groupe n'était plus jamais appliquée lorsqu'un flux lui correspondait. Cette anomalie a été corrigée.

Références support 79533 - 79636 - 80412 - 80376

Lors de l'activation ou désactivation d'un objet temps, la réévaluation des connexions correspondant à la règle de filtrage contenant cet objet temps ne provoque plus un redémarrage inopiné du firewall.

Référence support 79311

Une règle de translation d'adresse précisant une adresse IP destination et / ou un port destination pour le trafic après translation ne fonctionnait pas au travers d'un tunnel IPsec. Cette anomalie a été corrigée.

VPN SSL

Lors de la tentative d'établissement d'un tunnel VPN SSL avec un firewall dont le mode "furtif" (stealth mode) est désactivé, le premier paquet envoyé par le client VPN SSL n'est plus ignoré à tort par le firewall et le tunnel s'établit correctement.

Supervision des tunnels VPN SSL

Référence support 77801

Le nom des utilisateurs connectés via VPN SSL était affiché en clair dans le module de supervision de ces tunnels, même lorsque l'administrateur connecté ne bénéficiait pas de l'accès aux données personnelles. Cette anomalie a été corrigée.

Authentification - Comptes temporaires

Référence support 79296

Lorsque la politique de sécurité définie sur le firewall exige une longueur de mots de passe supérieure à 8 caractères, l'ajout, la modification ou la suppression de la méthode d'authentification de type comptes temporaires ne génère plus une erreur système.

Certificats et PKI

Les Certificate Revocation List (CRL) renseignées dans les certificats sont désormais téléchargées au même titre que celles précisées dans les CA.

Configuration initiale par clé USB

Référence support 75370

Lorsque plusieurs périphériques sont connectés (exemple : clé USB et carte SD), seule la clé USB est désormais prise en compte.

Prévention d'intrusion

Protocole SSL

Référence support 77817

Une erreur dans la déclaration du champ ExtensionLength de l'analyse protocolaire SSL provoquait à tort des alarmes bloquantes "Paquet SSL invalide" (alarme ssl:118) pour des paquets SSL Client Hello légitimes. Cette anomalie a été corrigée.

Protocole SMB v2

Référence support 78216

Une anomalie dans le moteur d'analyse du protocole SMB pouvait provoquer à tort l'alarme "Protocole NBSS/SMB2 invalide" (alarme nb-cifs:157) et ainsi entraîner le blocage de flux SMBv2 légitimes. Cette anomalie a été corrigée.

Protocole SMB - CIFS

Références support 77484 - 77166

Des anomalies dans l'analyse protocolaire SMB - CIFS pouvaient provoquer à tort l'alarme bloquante "Protocole NBSS/SMB invalide" (alarme nb-cifs:158) lors d'un accès légitime à une ressource disque partagée Microsoft Windows. Ces anomalies ont été corrigées.

Protocole DNS

Référence support 77256

Une anomalie dans l'analyse protocolaire DNS provoquait à tort l'alarme bloquante "Attaque possible DNS rebinding" (alarme dns:154) lors de la réponse d'un serveur DNS présentant une adresse IP externe composée de son adresse IPv6 concaténée avec son adresse IPv4 (mapping IPv4 - IPv6). Cette anomalie a été corrigée.

Protocole SMTP

Référence support 77661

Dans une configuration telle que :

  • Le moteur de prévention d'intrusion analyse le protocole SMTP,
  • L'analyse antivirale est activée pour les flux SMTP,
  • Le moteur d'analyse antivirale Kaspersky est utilisé sur le firewall,
  • Une Taille max. pour l'analyse antivirale et sandboxing est paramétrée.

L'analyse d'un e-mail contenant une pièce jointe excédant la taille définie ne déclenche plus à tort l'alarme bloquante "Protocole SMTP invalide" (alarme smtp:121).

Mode Fastpath

Références support 76810 - 77932

Un problème d'accès concurrentiel lors de l'injection des statistiques de connexions dans le moteur de prévention d'intrusion a été corrigé. Ce problème pouvait provoquer une consommation CPU importante ainsi qu'un rejet inopiné de paquets réseau sur les interfaces IX (modules 2x10Gbps et 4x10Gbps fibre).

Matériel

Configuration par clé USB

Références support 79645 - 79283

Lors de la configuration d'un firewall à l'aide d'une clé USB, un message d'information est désormais affiché en console et un délai d'attente de deux minutes est initié lorsqu'il est nécessaire de retirer la clé USB pour continuer les opérations en cours (mise à jour de firmware, rattachement d'un firewall à un cluster). Le retrait de la clé USB interrompt ce compteur.

Ce mécanisme permet d'éviter les erreurs de déchiffrement de clés sur les firewalls disposant d'un TPM (SN3100, SNi20).

En savoir plus

Machines virtuelles

Numéros de série des firewalls VPAYG

Référence support 76157

Les numéros de série des firewalls VPAYG (numéro de série du firewall auquel est ajoutée une extension de type "-XXXXXXXX") n'étaient pas reconnus par le mécanisme de supervision de la haute disponibilité. Cette anomalie a été corrigée.

Firewalls EVA déployés sur VMWare avec interfaces 10Gb/s

Référence support 76546

Pour les firewalls déployés sur une infrastructure VMWare, le débit maximal affiché pour des interfaces 10Gb/s utilisant le pilote vmxnet3 n'est plus limité à tort à 10Mb/s.

Interface Web d'administration

Interfaces

Référence support 77682

La suppression d'une interface GRETAP parente d'un VLAN masquait ce VLAN de la liste des interfaces bien qu'il soit toujours défini dans la configuration du firewall. Cette opération laisse désormais bien visible le VLAN à la racine de la liste des interfaces disponibles.

Référence support 77014

L'état de connexion des interfaces USB / Ethernet (4G) est désormais correctement détecté par le système et affiché dans le module Configuration > Réseau > Interfaces.

Interfaces - Profils de configuration des modems

Un compte administrateur en lecture seule ne pouvait pas afficher les profils de configuration des modems. Cette anomalie a été corrigée.

Interfaces - GRETAP

Référence support 78800

Le MTU affecté à une interface GRETAP lors de sa création est de nouveau correct (1462 octets contre 1500 dans les versions 4 précédentes).

Protocoles

Référence support 78157

Après avoir édité et modifié un nom de profil d'analyse protocolaire puis changé de module de configuration, au retour dans le module d'analyse protocolaire modifié, le menu Éditer n'est plus vide.

Protocoles - BacNET/IP

Le service avec confirmation confirmedTextMessage apparaissait à tort deux fois dans le groupe Remote Device Management (identifiants 19 et 20). L'identifiant 20 est désormais correctement affecté au service reinitializeDevice.

Sauvegardes automatiques - Serveur personnalisé

Référence support 78018

Le port défini lors de la création d'un serveur de sauvegarde personnalisé est de nouveau correctement présent dans l'URL affichée au sein du module de configuration.

Veuillez noter qu'il ne s'agissait que d'une anomalie d'affichage.

En savoir plus

Authentification - Méthode Radius

Référence support 76824

Lors de l'accès à la configuration du serveur Radius, si le champ clé pré-partagée était accidentellement effacé, une clé pré-partagée vide était enregistrée en lieu et place de la valeur précédente. Ce problème a été corrigé et le firewall refuse toute valeur vide pour ce champ.

Filtrage d'URL - Filtrage SSL

Référence support 77458

Le résultat de la catégorisation d'une URL (modules Filtrage d'URL et Filtrage SSL) ne reste plus affiché en permanence en bas de l'écran même lors d'un changement de module.

Référence support 79017

La modification simultanée de plusieurs règles de filtrage SSL ou de filtrage d'URL entraînait un nombre anormalement élevé de commandes système. Cette anomalie a été corrigée.

Objets Web - Groupes d'objets

Référence support 76325

Le champ de recherche des groupes de catégories n'est plus sensible à la casse.

Objets Web

Référence support 76327

Un clic sur la colonne de tri du contenu immédiatement après la création d'une nouvelle catégorie d'URL ou de certificats :

  • Ne crée plus d'erreur système si aucune autre catégorie n'était sélectionnée lors de l'opération de création,
  • N'affiche pas à tort le contenu d'une autre catégorie si celle-ci était sélectionnée lors de l'opération de création.

VPN IPsec

Référence support 74210

L'ajout d'un séparateur de règles IPsec dans une politique comportant plus d'une page de règles ne provoque plus le renvoi systématique à la première page de cette politique IPsec.

Références support 74966 - 75821

Un double-clic sur un séparateur de règles IPsec ouvre correctement celui-ci en édition, et la modification de ce séparateur est de nouveau pleinement fonctionnelle.

Référence support 75810

Lors de la création ou de la modification d'un correspondant, le passage d'une authentification par certificat à une authentification par clé pré-partagée, suivi d'un retour à une authentification par certificat sans avoir rechargé la page de configuration, ne provoque plus d'erreur système liée à la détection du certificat initialement sélectionné.

Références support 77246 - 77264 - 77274

La création ou de la modification d'un correspondant dont la configuration contenait une erreur (signalée par un message dans le champ de Vérification de la politique) pouvait néanmoins être validée. Cette anomalie, qui entraînait une erreur de rechargement de la configuration VPN IPsec, a été corrigée.

Référence support 77443

La création, modification ou suppression d'une clé pré-partagée depuis la grille des clés pré-partagées pour les tunnels mobiles (module Configuration > VPN IPsec > onglet Identification) n'est plus susceptible de créer un conflit de clés et d'empêcher l'établissement des tunnels IPsec utilisant ces clés.

VPN IPsec - Correspondants

Des contrôles additionnels ont été ajoutés pour une meilleure gestion de la duplication, du renommage ou de la suppression d'un correspondant en cours de modification (modifications non sauvegardées).

Certificats et PKI

Référence support 78965

Après avoir importé dans la PKI une CA externe (opération uniquement réalisable en ligne de commande), il n'était pas possible de déclarer cette CA comme CA par défaut (pour le proxy SSL par exemple), ou de sélectionner cette CA lors de la création d'une identité (utilisateur, serveur...). Cette anomalie a été corrigée.

Il est désormais possible de renseigner des alias (champ Subject Alternative Name) lors de la création d'une identité serveur. Les dernières versions des navigateurs Web exigent parfois ce champ.

Portail captif

Référence support 78805

Lors de la redirection vers la page d'authentification, le champ Mot de passe était sélectionné par défaut en lieu et place du champ Nom d'utilisateur lorsque celui-ci était vide. Cette anomalie a été corrigée.

Filtrage et NAT - Géolocalisation et Réputation des adresses IP publiques

Référence support 80980

Lorsqu'un groupe géographique ou un groupe de réputation d'adresses IP publiques est utilisé dans une règle de filtrage / NAT, l'info bulle affichée au survol de ce groupe n'indique plus à tort le message "Objet non trouvé".