Correctifs de la version 4.3.3

Système

VPN IPsec

Référence support 78214

Un tunnel IPsec site à site avec l'objet all comme origine de trafic ne déclenche plus à tort l'envoi de paquets keepalive avec pour adresse source l'adresse de broadcast (255.255.255.255) qui étaient alors bloqués du fait de l'émission de l'alarme "Utilisation de l'adresse broadcast en source" (ip:89).
Notez que cette anomalie ne perturbait pas le trafic légitime au sein du tunnel IPsec.

Référence support 82729

Lorsqu'un certificat était caractérisé par un nom (DN - Distinguished Name) long de plus de 128 caractères, seuls les 128 premiers caractères étaient conservés par le firewall. Le déploiement via SMC d'une configuration IPsec avec un tel certificat échouait donc car les DN de certificats ne concordaient pas.
Cette taille maximale a été portée à 240 caractères (limite technique).

Référence support 81471

Dans une configuration utilisant un tunnel VPN IPsec soumis à une forte charge réseau, l'expiration d'une entrée ARP ne provoque plus de perte de paquets réseau.

Référence support 81691

Une anomalie dans l'ordonnanceur de processus / threads en cas de changement de priorité dynamique pouvait provoquer des pertes de paquets sur un firewall soumis à une forte activité. Cette anomalie a été résolue.

Référence support 83059

Un tunnel IPsec avec un correspondant dont le nom contient un caractère accentué parvient de nouveau à s'établir correctement. Cette régression était apparue en version SNS 4.2.

VPN IPsec IKEv2

Référence support 79713

L'opération de réauthentification en phase 1 d'un tunnel IPsec IKEv2 pouvait se terminer trop rapidement entraînant ainsi le rejet à tort de paquets légitimes. Pour éviter ce phénomène, un nouveau paramètre peut être utilisé afin de retarder la suppression de l'ancienne IKE SA.

VPN IPsec - Certificats

Références support 78593 - 78611 - 73609

Dans le cas de correspondants IPsec déployés via SMC (politique IPsec globale) et utilisant des certificats définis localement sur le firewall, les certificats utilisés n'étaient pas affichés dans le détail des correspondants. Ce problème a été corrigé.

VPN SSL

Référence support 81349

Le démon OpenVPN pouvait s'arrêter inopinément, entraînant la déconnexion de tous les utilisateurs connectés en VPN SSL. Ce problème a été corrigé.

Proxies

Référence support 79295

Les proxies et les modules basés sur les proxies (classification d'URL,...) gèrent désormais correctement les certificats présentant à la fois un champ Subject vide et un champ Subjectaltname renseigné.

Création d'interfaces

Référence support 75064

Une configuration comportant plusieurs centaines d'interfaces (interfaces virtuelles, VLAN, ...) entraînait une consommation CPU excessive suite au rechargement répété du fichier de configuration des interfaces réseau.

Réputation des machines

Référence support 78563

Les données liées à la fonction de réputation des machines ne consomment plus une quantité excessive d'espace disque. Ce problème empêchait l'affichage des rapports.

NOTE
Il est nécessaire de réinitialiser la base de données de réputation des machines pour que ce correctif soit pris en compte (module Protection applicative > Réputation des machines > bouton Réinitialiser le score de toutes les machines dans la base de données).

Authentification Kerberos UDP

Référence support 78725

La méthode d'authentification Kerberos basée sur UDP ne fonctionnait plus depuis la version SNS 4.0.3 suite à l'introduction du support de pré-authentification FAST dans cette méthode (RFC6113). Ce problème a été corrigé.

Authentification à un serveur LDAPS

Le firewall ne parvenait pas à authentifier un serveur LDAPS présentant un certificat signé par une CA avec CRL. Ce problème a été corrigé.

Configuration initiale par clé USB

Référence support 81713

Lors d'une configuration de firewall via clé USB, une modification de fuseau horaire de référence précisée dans le fichier de configuration additionnelle (format CSV) est désormais correctement prise en compte.

Objets réseau - Import via CSV

Référence support 78683

Les objets réseau importés via un fichier CSV sont désormais immédiatement pris en compte dans la configuration du firewall.

Mise à jour automatiques

Référence support 72728

Un problème de prise en compte de la planification des mises à jour automatiques, lorsque l'intervalle de mise à jour d'un sous-système (définitions antivirales, ...) était modifié, a été corrigé.

Lorsqu'un port spécifique est précisé dans une URL personnalisée de serveur Active Update, ce port est désormais correctement pris en compte.

Planificateur d'événements

Référence support 77428

La macro %STATE% utilisable dans le planificateur d'événements est désormais fonctionnelle et retourne les valeurs attendues.

Supervision des disques

Références support 75125 - 75126

Un problème de remontée à tort d'alarmes concernant l'état des disques des firewalls a été corrigé.

Supervision des interfaces - VLAN et agrégats

Référence support 80066

Dans le cas de VLAN rattachés à des interfaces incluses dans des agrégats, le débit affiché dans le module de supervision des interfaces est désormais correct et ne reste plus bloqué à tort à 10Mb/s.

ICMP - IPv6

Référence support 82547

Dans une configuration utilisant IPv6, un problème d'accès concurrentiel pouvait entraîner un blocage du firewall lors de la réception de paquets ICMP de type "destination injoignable". Ce problème a été corrigé.

Serveur PPTP

Le serveur PPTP permettant d'établir des tunnels entre un client PPTP et le firewall est de nouveau opérationnel. Cette régression était apparue en version SNS 4.2.

Accès console via port série

Références support 82054 - 81429

Sur les firewalls autres que les modèles SN210(W) et SN310, l'accès console via le port série ne permettait plus d'interrompre la séquence de démarrage afin de changer le mot de passe du compte admin en mode single user. Ce problème a été corrigé.

Agent SNMP

Des problèmes d'accès concurrentiels qui pouvaient entraîner un arrêt du service ont été corrigés dans le mécanisme de vérification du nombre de notifications SNMP reçues.

Référence support 78695

Une anomalie dans la bande passante des agrégats de liens et des VLAN sur les agrégats de liens remontée par les OID ifSpeed et ifHighSpeed de la MIB IF-MIB a été corrigée.

Connexion à l'interface Web d'Administration avec authentification par certificats

Référence support 79815

Sur un firewall avec une configuration comportant plusieurs annuaires LDAP, l'authentification par certificat d'un administrateur dont le compte était issu de l'un des annuaires secondaires ne fonctionnait pas. Ce problème a été corrigé.

Connexion SSH - Mot de passe contenant le caractère $

Référence support 82949

L'enregistrement d'un mot de passe contenant le caractère $ (exemple : pas$$word) fonctionne désormais correctement. Un utilisateur se connectant en SSH n'est donc plus obligé d'ajouter un caractère d'échappement \ avant chaque caractère $ lors de la saisie de son mot de passe.

Haute disponibilité

Référence support 82211

Le mécanisme de nettoyage ARP (option de la haute disponibilité) a été amélioré afin d'éliminer les entrées au moment opportun. Avant ce correctif, ces entrées pouvaient être supprimées trop tôt, ce qui pouvait entraîner un délai dans la reprise de certains trafics réseau.

Haute disponibilité - Mode Diffusion Restreinte

L'activation depuis Stormshield Management Center du mode Diffusion Restreinte sur une configuration en haute disponibilité (activation directe ou par restauration de configuration) déclenche correctement le redémarrage du membre passif du cluster.

Haute disponibilité (HA) et agrégats de liens

Références support 82211 - 82855

Dans une configuration en haute disponibilité :

  • Utilisant des agrégats de liens reliés à un commutateur réseau,
  • Avec l'option Activer l'agrégation de liens lorsque le firewall est passif,
  • Et pour laquelle chaque membre des agrégats impacte le calcul de l'indice de qualité (paramètre LACPMembersHaveWeight positionné à 1 à l'aide des commande CLI / SERVERD CONFIG HA CREATE ou CONFIG HA UPDATE),

alors la perte puis le retour du commutateur pouvaient entraîner des bascules aléatoires au sein du cluster. Ce problème a été corrigé.

Filtrage et NAT

Références support 81369 - 83651

Un mécanisme d'optimisation permettant d’éviter une perte de paquets réseau au rechargement d'une politique de NAT possédant un grand nombre de règles peut être activé à l’aide la commande CLI / Serverd CONFIG PROTOCOL IP COMMON IPS CONFIG en ajoutant le paramètre natdiff aux paramètres existants de l'option OptimizeRuleMatch.

A partir d’une configuration par défaut, utilisez les paramètres suivants : OptimizeRuleMatch=equal,diff,cache,natdiff.

Toute modification doit ensuite être validée par la commande CONFIG PROTOCOL IP ACTIVATE.

Notez que ce mécanisme est désactivé par défaut.

NAT - VLAN

Référence support 79759

Dans une configuration supportant plusieurs VLAN sur une même interface physique et mettant en œuvre de la translation d'adresses avec publication ARP sur ces mêmes VLAN, les paquets GARP (Gratuitous ARP) étaient envoyés à tort sur un seul de ces VLAN. Ce problème a été corrigé.

Firewalls équipés d'un TPM

Référence support 83580

Suite à une mise à jour de firmware, les registres PCR (Platform Configuration Registers) connus du TPM pouvaient être modifiés, rendant alors la politique d'accès aux secrets stockés dans le TPM non fonctionnelle.
La commande CLI / Serverd SYSTEM TPM PCRSEAL tpmpassword=<password> [fwserial=(<serial>|passive|active|local)] a été créée afin de pouvoir mettre à jour cette politique d'accès en inscrivant dans le TPM les nouvelles valeurs de PCRs acceptables, et ce depuis l'interface Web d'administration via le module Console CLI.
Dans le cas d'une configuration en haute disponibilité, cette commande permet également de sélectionner le membre du cluster sur lequel cette opération doit être réalisée.

Prévention d'intrusion

Performances du moteur de prévention d'intrusion

Références support 76810 - 77932

Des modifications ont été apportées au mécanisme d'allocation de mémoire dédiée aux connexions pour le moteur de prévention d'intrusion afin d'en accroître les performances.

Statistiques du moteur de prévention d'intrusion

Références support 79713 - 82437 - 81466

Des optimisations ont été apportées au mécanisme de gestion des statistiques du moteur de prévention d'intrusion. Elles permettent d'éviter de potentielles pertes de paquets lors du traitement récurrent de ces statistiques sur un firewall soumis à une charge réseau importante.

Protocole IP

Référence support 79787

Lorsque des paquets IP reçus par le firewall étaient fragmentés, une anomalie lors de la réécriture des paquets pendant l'analyse protocolaire provoquait la non réception du premier fragment par la machine destinataire lorsque le paquet réémis était plus petit que le paquet original. Ce problème a été corrigé.

Protocole DNS

Référence support 82274

Des alarmes "Attaque possible DNS rebinding" (dns:154) étaient déclenchées à tort lors de l'analyse protocolaire de flux DNS issus de machines Microsoft. Ce problème a été corrigé.

Références support 79494 - 80912

Le moteur d'analyse protocolaire des flux DNS était sensible à la casse utilisée dans les réponses des serveurs DNS et déclenchait l'alarme "Champ query DNS contradictoire" (dns:151) lorsque cette casse était différente de celle utilisée dans la requête. Ce comportement a été corrigé afin d'être compatible avec les RFC 1035, 8490 et 4343.

Protocole RDP dans COTP

Référence support 81814

L'analyse de paquets RDP dans COTP, à destination de serveurs Microsoft Windows et passant au travers d'un Connection Broker , ne provoque plus à tort d'alarmes bloquantes "COTP : taille de message invalide" (cotp:385) ou "COTP protocole invalide" (cotp:379).

Protocole SIP

Référence support 82964

Une anomalie dans le moteur d'analyse protocolaire SIP, qui pouvait entraîner un blocage du firewall, a été corrigée.

Administration du firewall

Référence support 78531

Une anomalie dans l'initialisation de la bibliothèque de supervision pouvait entraîner un redémarrage inopiné du service d'administration du firewall. Ceci se traduisait par une augmentation du temps de réponse pour les sessions d'administration via l'Interface Web d'administration ou la console SSH. Cette anomalie a été corrigée et des informations complémentaires ont été ajoutées dans les logs avancés (mode verbose).

Moteur de prévention d'intrusion

Référence support 81690

La réception de certains signaux d'interruption par le moteur de prévention d'intrusion ne provoquait pas l'écriture de traces complémentaires (fichier core) permettant d'identifier la cause du redémarrage du moteur. Ce problème a été corrigé.

Files d'attente d'informations sur la réputation / géolocalisation

Lorsqu'une requête de réputation de machine est effectuée et que la file d'attente des informations de réputation / géolocalisation est pleine, l'alarme remontée est désormais correcte ("Attaque possible des ressources"). Les statistiques indiquant que la file d'attente était pleine sont également correctement mises à jour.

Protocole SMB / CIFS

Référence support 83660

Une anomalie a été corrigée dans la prise en compte par le moteur d'analyse protocolaire SMB / CIFS des octets de remplissage de fin des paquets SMB.

Interface Web d'administration

Qualité de service (QoS)

Lors de la vérification d'utilisation d'une file d'attente de QoS, et lorsque aucun objet valide n'était trouvé, les messages d'information résultants présentaient des problèmes d'affichage de caractères spéciaux (apostrophes, supérieur, inférieur...). Ce problème a été corrigé.

Filtrage SSL - Filtrage d'URL

Références support 80809 - 80813

Une anomalie dans la commande système utilisée lors du survol des groupes de catégories d'URL ou des groupes de catégories de certificats provoquait à tort l'affichage du message "Cet objet n'existe pas". Cette anomalie a été corrigée.

Configuration

Référence support 82560

Un administrateur doté de tous les droits (autre que le compte super-administrateur admin) ne pouvait plus accéder au panneau Configuration de l'interface Web d'administration. Cette régression, apparue en version SNS 4.2.1, a été corrigée.

Configuration - Serveurs NTP

Référence support 81719

L'édition des clés d'authentification associées aux serveurs NTP est de nouveau fonctionnelle. Cette régression était apparue en version SNS 4.2.1.

VPN IPsec - Politiques locales et globales

Référence support 82376

Il n'était plus possible de renommer un objet de la politique IPsec locale, puis de passer sur la politique IPsec globale et d'y renommer un objet (ainsi que la manipulation inverse). Cette régression, apparue en version SNS 4.2.1, a été corrigée.

VPN IPsec - Groupes Diffie-Hellman

Lors de la création d'un profil IKE / IPsec, le groupe Diffie-Hellman proposé par défaut est désormais le DH14 (plus sécurisé) et non plus le DH1.

VPN IPsec - Vérifier l'utilisation d'un correspondant

Dans le module Configuration > VPN > VPN IPsec, onglet Correspondants, l'action permettant de vérifier l'utilisation d'un correspondant dans la configuration du firewall (disponible par un clic droit sur ce correspondant) prend désormais en compte davantage d'éléments dans sa vérification.

VPN IPsec - Authentification par certificat

Référence support 83287

Lors de l'affichage des caractéristiques d'un correspondant IPsec utilisant l'authentification par certificat, la CA ayant émis le certificat sélectionné n'était pas affichée. Cette anomalie a été corrigée et le champ Certificat se présente sous la forme : <CA>:<Certificat>.

Objets réseau

Référence support 79812

Au cours de la création d'un objet plage de ports, le fait de modifier le type d'objet à créer en objet port aboutissait néanmoins au final en la création d'un objet plage de ports. Ce problème a été corrigé.

Référence support 80539

Une fenêtre indiquant qu'un objet réseau avait été modifié pouvait s'afficher à tort lors de l'utilisation du module Objets réseau. Ce problème a été corrigé.

Administration du firewall

Référence support 78529

Dans l'onglet Administration du module Configuration, la création directe d'une machine autorisée à accéder aux pages d'administration du firewall ajoutait correctement la machine à la base objets mais ne l'affichait pas automatiquement dans la liste des machines autorisées. Ce problème a été corrigé.

Supervision - Tunnels VPN IPsec

Dans le module Supervision > Tunnels VPN IPsec, le lien permettant d'accéder à la configuration de la politique liée à un tunnel IPsec (disponible par un clic droit sur ce tunnel) tient désormais compte du fait que la politique liée soit globale ou locale et renvoie vers la politique correspondante.

Interfaces réseau

Référence support 83039

Les modifications manuelles de l'adresse MAC d'une interface réseau sont désormais bien conservées dans l'affichage du module Interfaces.

Certificats et PKI

Référence support 83828

Dans l'affichage du détail d'un certificat, le champ "sujet" avait été renommé à tort en "émetteur" depuis la version 4.0.1. Cette anomalie a été corrigée.

Référence support 83709

Pour un certificat ou une sous-CA importés sur le firewall, toute tentative de téléchargement de ce certificat ou de la CRL issue de la sous-CA se soldait par un échec et un message d'erreur système "L'autorité de certification n'a pas été trouvée". Ce problème a été corrigé.

Référence support 83570

Pour un certificat importé sur le firewall, toute tentative de vérification de l'utilisation de ce certificat se soldait par un échec et un message d'erreur système "Pas de certificat valide trouvé". Ce problème a été corrigé.

Référence support 82474

Lorsque plusieurs identités issues d'une même CA externe étaient importées sur le firewall, l'arborescence liée à cette CA était mal créée et les modules permettant de manipuler des certificats (Certificats et PKI, VPN IPSec ...) affichaient cette CA autant de fois que le nombre d'identités importées. Cette régression, apparue en version SNS 4.1, a été corrigée.

Firewalls avec TPM (SNi20, SN3100) - Activation IPv6

Référence support 83578

Sur un firewall modèle SNi20 ou SN3100 dont le TPM est initialisé, l'activation du support IPv6 demande désormais bien le mot de passe de ce TPM afin de réaliser correctement la sauvegarde de configuration sans provoquer l'affichage du message d'erreur système "Erreur de l'opération TPM : non autorisé".

Proxies

Référence support 84079

Il n'était pas possible de choisir une nouvelle CA de signature des certificats du proxy lorsque le mot de passe de cette nouvelle CA était identique à celui de l'ancienne CA. Cette régression, apparue en version SNS 4.2, a été corrigée.