Correctifs de SNS 4.2.4

Système

VPN SSL

Référence support 78163

Le lien de téléchargement du client Stormshield VPN SSL présenté par le portail captif du firewall hébergeant ce service tient désormais compte de la langue du navigateur.

Référence support 79149

Des contrôles additionnels ont été implémentés afin d'afficher une erreur lorsque le champ Réseaux accessibles est défini par un groupe contenant une plage d'adresses IP. Une telle configuration empêchait le service VPN SSL de fonctionner.

Référence support 73463

Le moteur de gestion du VPN SSL fonctionne désormais correctement avec les suites de chiffrement AES-GCM (taille de clés de 128, 192 ou 256 bits) recommandées par l'ANSSI.

Proxies

Référence support 81624

Dans une configuration utilisant de l'authentification multi-utilisateurs, la gestion des directives CSP (content-security-policy) de type "img-src https://*" provoquait un redémarrage inopiné du service proxy. Ce problème a été corrigé.

Références support 79257 - 79144

Dans une configuration utilisant le proxy explicite HTTP ou le proxy SMTP sans analyse protocolaire, et lorsqu'une connexion cliente se caractérisait par l'envoi du drapeau FIN immédiatement après l'envoi du drapeau CONNECT, le proxy conservait à tort en mémoire la trace de cette connexion fermée. L'accumulation de ces traces de connexions pouvait alors entraîner une consommation excessive de la mémoire du firewall. Ce problème a été corrigé.

Proxy SSL

Référence support 77207

Un redémarrage inopiné du proxy SSL pouvait intervenir lorsque toutes les conditions suivantes étaient réunies :

  • Une politique de filtrage SSL appliquant une action "Passer sans déchiffrer" lorsqu'un CN n'a pas pu être classifié dans une catégorie,
  • Une première connexion correspond à cette règle (action "Passer sans déchiffrer") car la classification du CN échoue,
  • Une connexion simultanée au même site voit sa classification aboutir sur une action "Bloquer sans déchiffrer".

Ce problème a été corrigé.

Événements système

Référence support 80426

L'événement système n°19 : "LDAP inaccessible" se déclenche en cas de problème d'accès à un annuaire LDAP défini dans la configuration du firewall.

Vérification automatique des CRL

Référence support 82035

Une anomalie dans la vérification automatique des points de distributions de CRL (CRLDP) référencés dans une sous-autorité a été corrigée. Cette anomalie générait à tort l'alarme "La CRL publiée sur le point de distribution est invalide".

Vérification automatique des CRL et proxy externe

Référence support 81259

L'utilisation de la vérification des CRL au travers d'un proxy externe ne fonctionnait pas car le port pour joindre le proxy n'était pas correctement pris en compte. Ce problème a été corrigé.

Récupération des mises à jour de firmware et proxy externe

Références support 79538 - 81331

La récupération automatique de firmware au travers d'un proxy externe ne fonctionnait pas car le proxy n'était pas pris en compte. Ce problème a été corrigé.

VPN IPsec

Référence support 77960

Dans le cadre d'une utilisation conjointe de VPN IPsec et de Path MTU Discovery (PMTUd), le bit Don't Fragment (DF) n'était pas intégré aux paquets ESP et ne permettait donc pas d'utiliser le PMTUd. Cette configuration est désormais supportée.

En savoir plus

Références support 81013 - 81002

Lorsque la durée de vie de phase 1 d'un tunnel est écoulée, l'utilisateur n'est plus supprimé à tort des tables d'authentification du firewall si d'autres tunnels le concernant sont toujours actifs.

Référence support 77477

Une configuration IPsec associée à une règle de NAT concernant les paquets destinés au tunnel et une règle de QoS pour les flux transitant par ce tunnel provoquait la saturation de la mémoire du firewall et entraînait l'instabilité du cluster en cas de configuration en haute disponibilité. Ce problème a été corrigé.

VPN IPsec - Mode Diffusion Restreinte (mode DR)

Sur un firewall configuré en mode Diffusion Restreinte (mode DR), les profils de chiffrement DR n'autorisent désormais plus qu'une taille (force) de 256 bits pour les clés des algorithmes AES-GCM et AES-CTR.

Une erreur dans l'implémentation de l'algorithme ECDSA basé sur les courbes elliptiques Brainpool 256 ne permettait pas l'établissement de tunnels IPsec en mode DR avec le client VPN IPsec TheGreenBow implémentant le mode DR. Cette erreur a été corrigée.

ATTENTION
La correction de cette erreur rend de fait impossible l'établissement de tunnels IPsec en mode DR, basés sur ECDSA et courbes elliptiques Brainpool 256, entre un firewall en version SNS 4.2.1 ou SNS 4.2.2 et un firewall en version SNS 4.2.4 (ou supérieure).

Annuaire LDAP externe

Référence support 81531

Après la création d'un annuaire LDAP externe accessible via une connexion sécurisée, l'activation de l'option Vérifier le certificat selon une Autorité de certification et la sélection d'une CA de confiance n'aboutissent plus à une erreur interne du firewall.

Annuaire LDAP - Serveur de secours

Référence support 80428

Dans une configuration LDAP(S) définie avec un serveur de secours, lorsque :

  • Le firewall a basculé sur le serveur LDAP(S) de secours faute de réponse du serveur principal,
  • Le serveur de secours ne répond pas à son tour.

Alors le firewall tente de se reconnecter immédiatement au serveur principal sans attendre le délai de 10 minutes défini en configuration d'usine.

Service de réputation des IP et de géolocalisation

Référence support 81048

Dans certains cas, le service de réputation des IP et de géolocalisation pouvait s'arrêter de manière inopinée à la suite d'un accès concurrentiel causé par un rechargement de configuration. Même s'il était redémarré automatiquement, une interruption du service pouvait alors survenir. Ce problème a été corrigé.

Références support 77326 - 77980 - 79673 - 74614 - 80572 - 80624 - 79664 - 79589

Une anomalie liée au service de réputation des IP et de géolocalisation pouvait provoquer une corruption de mémoire aboutissant à un redémarrage inopiné du firewall. Ce problème a été corrigé.

Configuration initiale par clé USB

Référence support 80866

Dans le cadre de la configuration initiale par clé USB, lorsqu'un fichier de configuration additionnelle .CSV était importé dans la séquence d'installation, la commande renseignée à la dernière ligne du fichier n'était pas exécutée. Ce problème a été corrigé.

Portail captif

Référence support 79386

La fermeture de la page de déconnexion du portail captif provoque à nouveau la déconnexion de l'utilisateur, quel que soit le navigateur Internet utilisé.

Service d'authentification

Référence support 81423

Un souci lors de la communication avec un serveur LDAP externe configuré sur le firewall (problème réseau, réponse partielle du serveur...) provoquait un blocage du service d'authentification du firewall, déconnectant les utilisateurs et les empêchant de s'authentifier à nouveau. Ce problème a été corrigé.

Agent SNMP

Référence support 81710

Un problème de fuite mémoire dans la gestion de la file d'attente de l'agent SNMP a été corrigé.

Référence support 81573 - 81588 - 81529

Lorsque le firewall reçoit une requête SNMP, l'adresse de réponse utilisée par l'agent SNMP est de nouveau correcte et correspond bien à l'adresse IP du firewall interrogée lors de cette requête SNMP.

Références support 82734 - 82735

Des erreurs de syntaxe ont été corrigées dans les MIB STORMSHIELD-VPNSP-MIB, STORMSHIELD-VPNSA-MIB, STORMSHIELD-VPNIKESA-MIB et STORMSHIELD-ALARM-MIB.

Certificats

Référence support 82110

Une anomalie dans la gestion d'un champ OCSP vide pouvait engendrer à tort un message d'erreur "XSS Protection" lors de l'affichage des propriétés du certificat concerné. Cette anomalie a été corrigée.

Bypass matériel - Firewalls modèle SNi20

Référence support 82241

Le mécanisme de bypass matériel pouvait ne pas fonctionner sur certains firewalls modèle SNi20. Ce problème a été corrigé.

Réseau

Routage statique et VPN IPsec

Référence support 80862

Dans le cas d'une configuration VPN IPsec par politique (non VTI), lorsqu'une route statique était créée pour le réseau distant via l'interface IPsec, le trafic censé être chiffré et émis vers ce réseau ne l'était plus. Ce problème a été corrigé.

Routage multicast - Translation d'adresse

Référence support 80359

Les paquets d'un trafic réseau multicast ne sont plus dupliqués si le routage multicast est appliqué après une règle de NAT destination appliquée à ce trafic.

Bridge - Adresses MAC

Référence support 80652

Dans le cas d'interfaces rattachées à un bridge, lorsqu’un équipement réseau est déplacé et que le trafic réseau qu'il génère n'est plus lié à la même interface physique, le firewall associe automatiquement l'adresse MAC de l'équipement à la nouvelle interface dès réception d'une requête Gratuitous ARP issue du nouvel équipement.

Ce basculement n'était pas correctement pris en charge lorsque l'adresse MAC était différente après déplacement. Cette anomalie a été corrigée.

Prévention d'intrusion

Mécanisme de FastPath

Référence support 82078

La combinaison de translation d'adresses (NAT) et d'insertion de routes inappropriées dans les tables du moteur de prévention d'intrusion pouvait entraîner une utilisation inadéquate du mécanisme de FastPath et provoquer un blocage du firewall. Ce problème a été corrigé.

 

Matériel

Les cartes réseau Intel additionnelles installées sur les firewalls SN6100 pouvaient ne pas être reconnues par l'utilitaire Intel de mise à jour du microcode de ces cartes. Cette anomalie a été corrigée.

Supervision

Tunnels IPsec

Référence support 82043

Les tunnels IPsec mobiles établis et définis en mode Config apparaissent désormais dans le module de supervision des tunnels IPsec.

Interface Web d'administration

Haute disponibilité

Référence support 80888

La modification de la durée minimale des connexions devant être synchronisées est désormais correctement prise en compte (Haute disponibilité > Configuration avancée).