Correctifs de SNS 4.2.4
Système
VPN SSL
Référence support 78163
Le lien de téléchargement du client Stormshield VPN SSL présenté par le portail captif du firewall hébergeant ce service tient désormais compte de la langue du navigateur.
Référence support 79149
Des contrôles additionnels ont été implémentés afin d'afficher une erreur lorsque le champ Réseaux accessibles est défini par un groupe contenant une plage d'adresses IP. Une telle configuration empêchait le service VPN SSL de fonctionner.
Référence support 73463
Le moteur de gestion du VPN SSL fonctionne désormais correctement avec les suites de chiffrement AES-GCM (taille de clés de 128, 192 ou 256 bits) recommandées par l'ANSSI.
Proxies
Référence support 81624
Dans une configuration utilisant de l'authentification multi-utilisateurs, la gestion des directives CSP (content-security-policy) de type "img-src https://*" provoquait un redémarrage inopiné du service proxy. Ce problème a été corrigé.
Références support 79257 - 79144
Dans une configuration utilisant le proxy explicite HTTP ou le proxy SMTP sans analyse protocolaire, et lorsqu'une connexion cliente se caractérisait par l'envoi du drapeau FIN immédiatement après l'envoi du drapeau CONNECT, le proxy conservait à tort en mémoire la trace de cette connexion fermée. L'accumulation de ces traces de connexions pouvait alors entraîner une consommation excessive de la mémoire du firewall. Ce problème a été corrigé.
Proxy SSL
Référence support 77207
Un redémarrage inopiné du proxy SSL pouvait intervenir lorsque toutes les conditions suivantes étaient réunies :
- Une politique de filtrage SSL appliquant une action "Passer sans déchiffrer" lorsqu'un CN n'a pas pu être classifié dans une catégorie,
- Une première connexion correspond à cette règle (action "Passer sans déchiffrer") car la classification du CN échoue,
-
Une connexion simultanée au même site voit sa classification aboutir sur une action "Bloquer sans déchiffrer".
Ce problème a été corrigé.
Événements système
Référence support 80426
L'événement système n°19 : "LDAP inaccessible" se déclenche en cas de problème d'accès à un annuaire LDAP défini dans la configuration du firewall.
Vérification automatique des CRL
Référence support 82035
Une anomalie dans la vérification automatique des points de distributions de CRL (CRLDP) référencés dans une sous-autorité a été corrigée. Cette anomalie générait à tort l'alarme "La CRL publiée sur le point de distribution est invalide".
Vérification automatique des CRL et proxy externe
Référence support 81259
L'utilisation de la vérification des CRL au travers d'un proxy externe ne fonctionnait pas car le port pour joindre le proxy n'était pas correctement pris en compte. Ce problème a été corrigé.
Récupération des mises à jour de firmware et proxy externe
Références support 79538 - 81331
La récupération automatique de firmware au travers d'un proxy externe ne fonctionnait pas car le proxy n'était pas pris en compte. Ce problème a été corrigé.
VPN IPsec
Référence support 77960
Dans le cadre d'une utilisation conjointe de VPN IPsec et de Path MTU Discovery (PMTUd), le bit Don't Fragment (DF) n'était pas intégré aux paquets ESP et ne permettait donc pas d'utiliser le PMTUd. Cette configuration est désormais supportée.
Références support 81013 - 81002
Lorsque la durée de vie de phase 1 d'un tunnel est écoulée, l'utilisateur n'est plus supprimé à tort des tables d'authentification du firewall si d'autres tunnels le concernant sont toujours actifs.
Référence support 77477
Une configuration IPsec associée à une règle de NAT concernant les paquets destinés au tunnel et une règle de QoS pour les flux transitant par ce tunnel provoquait la saturation de la mémoire du firewall et entraînait l'instabilité du cluster en cas de configuration en haute disponibilité. Ce problème a été corrigé.
VPN IPsec - Mode Diffusion Restreinte (mode DR)
Sur un firewall configuré en mode Diffusion Restreinte (mode DR), les profils de chiffrement DR n'autorisent désormais plus qu'une taille (force) de 256 bits pour les clés des algorithmes AES-GCM et AES-CTR.
Une erreur dans l'implémentation de l'algorithme ECDSA basé sur les courbes elliptiques Brainpool 256 ne permettait pas l'établissement de tunnels IPsec en mode DR avec le client VPN IPsec TheGreenBow implémentant le mode DR. Cette erreur a été corrigée.
ATTENTION
La correction de cette erreur rend de fait impossible l'établissement de tunnels IPsec en mode DR, basés sur ECDSA et courbes elliptiques Brainpool 256, entre un firewall en version SNS 4.2.1 ou SNS 4.2.2 et un firewall en version SNS 4.2.4 (ou supérieure).
Annuaire LDAP externe
Référence support 81531
Après la création d'un annuaire LDAP externe accessible via une connexion sécurisée, l'activation de l'option Vérifier le certificat selon une Autorité de certification et la sélection d'une CA de confiance n'aboutissent plus à une erreur interne du firewall.
Annuaire LDAP - Serveur de secours
Référence support 80428
Dans une configuration LDAP(S) définie avec un serveur de secours, lorsque :
- Le firewall a basculé sur le serveur LDAP(S) de secours faute de réponse du serveur principal,
- Le serveur de secours ne répond pas à son tour.
Alors le firewall tente de se reconnecter immédiatement au serveur principal sans attendre le délai de 10 minutes défini en configuration d'usine.
Service de réputation des IP et de géolocalisation
Référence support 81048
Dans certains cas, le service de réputation des IP et de géolocalisation pouvait s'arrêter de manière inopinée à la suite d'un accès concurrentiel causé par un rechargement de configuration. Même s'il était redémarré automatiquement, une interruption du service pouvait alors survenir. Ce problème a été corrigé.
Références support 77326 - 77980 - 79673 - 74614 - 80572 - 80624 - 79664 - 79589
Une anomalie liée au service de réputation des IP et de géolocalisation pouvait provoquer une corruption de mémoire aboutissant à un redémarrage inopiné du firewall. Ce problème a été corrigé.
Configuration initiale par clé USB
Référence support 80866
Dans le cadre de la configuration initiale par clé USB, lorsqu'un fichier de configuration additionnelle .CSV était importé dans la séquence d'installation, la commande renseignée à la dernière ligne du fichier n'était pas exécutée. Ce problème a été corrigé.
Portail captif
Référence support 79386
La fermeture de la page de déconnexion du portail captif provoque à nouveau la déconnexion de l'utilisateur, quel que soit le navigateur Internet utilisé.
Service d'authentification
Référence support 81423
Un souci lors de la communication avec un serveur LDAP externe configuré sur le firewall (problème réseau, réponse partielle du serveur...) provoquait un blocage du service d'authentification du firewall, déconnectant les utilisateurs et les empêchant de s'authentifier à nouveau. Ce problème a été corrigé.
Agent SNMP
Référence support 81710
Un problème de fuite mémoire dans la gestion de la file d'attente de l'agent SNMP a été corrigé.
Référence support 81573 - 81588 - 81529
Lorsque le firewall reçoit une requête SNMP, l'adresse de réponse utilisée par l'agent SNMP est de nouveau correcte et correspond bien à l'adresse IP du firewall interrogée lors de cette requête SNMP.
Références support 82734 - 82735
Des erreurs de syntaxe ont été corrigées dans les MIB STORMSHIELD-VPNSP-MIB, STORMSHIELD-VPNSA-MIB, STORMSHIELD-VPNIKESA-MIB et STORMSHIELD-ALARM-MIB.
Certificats
Référence support 82110
Une anomalie dans la gestion d'un champ OCSP vide pouvait engendrer à tort un message d'erreur "XSS Protection" lors de l'affichage des propriétés du certificat concerné. Cette anomalie a été corrigée.
Bypass matériel - Firewalls modèle SNi20
Référence support 82241
Le mécanisme de bypass matériel pouvait ne pas fonctionner sur certains firewalls modèle SNi20. Ce problème a été corrigé.
Réseau
Routage statique et VPN IPsec
Référence support 80862
Dans le cas d'une configuration VPN IPsec par politique (non VTI), lorsqu'une route statique était créée pour le réseau distant via l'interface IPsec, le trafic censé être chiffré et émis vers ce réseau ne l'était plus. Ce problème a été corrigé.
Routage multicast - Translation d'adresse
Référence support 80359
Les paquets d'un trafic réseau multicast ne sont plus dupliqués si le routage multicast est appliqué après une règle de NAT destination appliquée à ce trafic.
Bridge - Adresses MAC
Référence support 80652
Dans le cas d'interfaces rattachées à un bridge, lorsqu’un équipement réseau est déplacé et que le trafic réseau qu'il génère n'est plus lié à la même interface physique, le firewall associe automatiquement l'adresse MAC de l'équipement à la nouvelle interface dès réception d'une requête Gratuitous ARP issue du nouvel équipement.
Ce basculement n'était pas correctement pris en charge lorsque l'adresse MAC était différente après déplacement. Cette anomalie a été corrigée.
Prévention d'intrusion
Mécanisme de FastPath
Référence support 82078
La combinaison de translation d'adresses (NAT) et d'insertion de routes inappropriées dans les tables du moteur de prévention d'intrusion pouvait entraîner une utilisation inadéquate du mécanisme de FastPath et provoquer un blocage du firewall. Ce problème a été corrigé.
Matériel
Les cartes réseau Intel additionnelles installées sur les firewalls SN6100 pouvaient ne pas être reconnues par l'utilitaire Intel de mise à jour du microcode de ces cartes. Cette anomalie a été corrigée.
Supervision
Tunnels IPsec
Référence support 82043
Les tunnels IPsec mobiles établis et définis en mode Config apparaissent désormais dans le module de supervision des tunnels IPsec.
Interface Web d'administration
Haute disponibilité
Référence support 80888
La modification de la durée minimale des connexions devant être synchronisées est désormais correctement prise en compte (Haute disponibilité > Configuration avancée).