Correctifs de SNS 4.6.9

Système

VPN IPsec

Références support 85095 - 85252

Un firewall pour lequel l'option Ne pas initier le tunnel (Responder-Only) est activée ne génère plus à tort de requêtes de ré-authentification de phase 1.

Référence support 84821

Dans une configuration telle que, sur un site A :

  • Un premier tunnel IPsec vers un site B est défini dans la politique IPsec,
  • Un deuxième tunnel vers un site C est basé sur une interface IPsec virtuelle (VTI),
  • Une route statique précise le réseau vers le site C,
  • Le réseau défini pour l'extrémité de trafic du site C recouvre le réseau défini pour l'extrémité de trafic du site B.

Alors le trafic réseau destiné au site C (tunnel basé sur VTI) n'est plus dirigé à tort dans le tunnel vers le site B (tunnel défini dans la politique IPsec).

Référence support 85284

Des modifications ont été apportées au mécanisme de chargement du moteur de gestion IPsec afin d'éviter de potentiels accès concurrentiels à son fichier de configuration. Ceci bloquait le chargement de la configuration IPsec au démarrage du firewall.

Référence support 84856

La présence, dans le fichier de configuration d'IPsec, d'une chaîne (exemple : CN de certificat, nom de certificat...) pouvant faire référence à un algorithme de chiffrement obsolète (exemple : des, blowfish ...) ne bloque plus une mise à jour de firmware du firewall.

Références support 85179 - 84968

Un tunnel VPN IPsec, dont le profil de chiffrement de phase 2 (IPsec) utilise le groupe Diffie-Hellman DH18 MODP (modp8192) comme Perfect Forward Secrecy (PFS), parvient de nouveau à renégocier les clés de ses Associations de Sécurité (SA). Cette régression, qui interrompait le tunnel IPsec, était apparue en version SNS 4.2.

Configuration - IPsec

Référence support 84881

La présence d'un séparateur de règles dans la politique VPN IPsec combinée à l'existence d'un objet de type FQDN dans la base objets ne provoque plus à tort une erreur lors de la requête de résolution de l'objet FQDN.

Objets routeur

Référence support 84963

La mise à jour en version SNS 4.6.9 ou supérieure d'un firewall utilisant un objet routeur :

  • Créé dans une version antérieure à SNS 4.3,
  • Dont le nom comporte l'un des caractères "+" (signe plus) ou "^" (accent circonflexe).

Ne rend plus cet objet routeur inopérant dans la configuration du firewall.

Configuration - Objets réseau

Référence support 85274

Le renommage d'un objet appartenant à un groupe auto-généré (exemple de groupe auto-généré : Network_internals) est désormais correctement réalisé. Cette opération ne génère plus l'erreur système "L'objet est inclus dans 1 ou plusieurs groupes" et le nouveau nom de l'objet est correctement modifié dans l'ensemble des groupes et modules de configuration l'utilisant. Cette régression était apparue en version SNS 4.6.2.

Tunnel GRETAP

La modification de l'adresse IP d'une extrémité de tunnel GRETAP actif est désormais correctement prise en compte.

Authentification - RADIUS

Références support 84484 - 84497

Le temps de réponse maximal par défaut pour une requête Radius peut désormais être augmenté pour atteindre 600 secondes. Il peut être modifié à l'aide de la commande CLI / Serverd CONFIG.AUTH.RADIUS.

Plus d'information sur la commande CLI / Serverd CONFIG.AUTH.RADIUS.

Authentification - Agent SSO

Référence support 85052

Dans une configuration ayant utilisé simultanément plusieurs Agents SSO mais dont le premier agent de la liste a été supprimé depuis, le moteur d'authentification Agent SSO démarre désormais correctement lors du rechargement de la politique d'authentification.

Agent SNMP

Références support 84861 - 85133 - 85213 - 85232

Des problèmes concernant la gestion des tables SNMP, qui pouvaient entraîner un arrêt inopiné de l'agent SNMP, ont été corrigés.

Supervision - Firewalls SN-S-Series et SN-M-Series

Référence support 85261

Un firewall SN-S-Series ou SN-M-Series sorti d'usine, et équipé d'un seul module d'alimentation sur les deux possibles, ne génère plus à tort une alarme majeure indiquant que le deuxième module est absent, débranché ou défectueux.

VPN SSL - TOTP

Références support 84966 - 84992

L'utilisation d'un certificat personnalisé pour le service VPN SSL et de l'authentification via TOTP avec des clients VPN SSL Stormshield n'entraîne plus la nécessité pour le client de saisir un deuxième code TOTP à chaque connexion.

Machines virtuelles

Répartition de charge IPsec sur les CPU

Référence support 85225

Un problème de répartition de charge du chiffrement IPsec sur les CPU a été corrigé pour les firewalls virtuels EVA déployés sur des hyperviseurs utilisant la spécification SR-IOV (Single Root I/O Virtualization - Virtualisation d'entrée / sortie à racine unique).

Pour rappel, la répartition de charge de chiffrement IPsec est configurable via la commande CLI / Serverd CONFIG IPSEC CRYPTOLB UPDATE.

Plus d'informations sur la commande CLI / Serverd CONFIG IPSEC CRYPTOLB UPDATE.

Moteur de prévention d'intrusion

Protocole TCP

Références support 84807 - 84515

Dans certains cas de figure, la réception d'un paquet RST lors de la fermeture d'une connexion pouvait laisser cette connexion dans un état semi-fermé. Cette situation empêchait les tentatives de connexions vers la même adresse IP et sur le même port et provoquait l'alarme "Paquet TCP invalide par rapport à l'état" (alarme tcpudp:97), jusqu'à ce que le délai d'expiration de la connexion semi-fermée soit atteint. Ce problème a été corrigé.

Protocole OPC-UA

Référence support 85275

Le moteur d'analyse du protocole OPC-UA est désormais basé sur la spécification 1.0.5 de ce protocole. Ceci permet de ne plus bloquer à tort les messages de type ReverseHello, comportement qui interrompait la connexion OPC-UA en cours d'établissement.

Interface Web d'administration

Supervision - Logs

Référence support 85279

L'action de rafraîchir l'affichage des logs avec le filtre Dernière Heure actif ne provoque plus un décalage croissant de temps entre l'heure des derniers logs affichés et l'heure réelle du firewall.

Protocole OPC-DA

Référence support 85129

L'entrée OPC-DA 3.0 Type Lib n’apparaît plus à tort à plusieurs reprises dans la liste des opérations OPC-DA à analyser.

Tableau de bord - Antivirus avancé

Référence support 85281

Dans une configuration telle que :

  • L'antivirus est activé,
  • Aucune règle de la politique de filtrage active ne fait appel à l'antivirus.

Le Tableau de bord du firewall n'indique plus à tort un état critique de cet antivirus.