Correctifs de SNS 4.1.3

Système

Proxies

Référence support 75970

Lorsque le proxy doit envoyer une page de blocage, l'absence d'en-tête Content-Length dans la réponse (requête de type HTTP HEAD) n’entraîne plus à tort une alarme "Données additionnelles en fin de réponse" (alarme http:150).

Référence support 78432 - 79297

Des problèmes de fuites mémoire dans les proxies, pouvant aboutir à un redémarrage inopiné du service, ont été corrigés.

Références support 78802 - 79204 - 78210 - 77809 - 79584

Un problème lié à l'activation de la protection par force brute et qui pouvait entraîner un blocage du proxy a été corrigé.

Référence support 67947

Dans une configuration avec une politique de filtrage mettant en œuvre :

  • Une règle globale de déchiffrement,
  • Une règle locale de filtrage utilisant un proxy explicite et dont l'identifiant de règle est égal ou inférieur à celui de la règle globale de déchiffrement.

Une opération de rechargement de la configuration du proxy (changement de politique de filtrage, changement de politique de filtrage SSL/URL, changement du moteur de filtrage SSL/URL, changement du moteur antiviral...) ne provoque plus l'interruption des connexions traitées par le proxy.

Référence support 79584

Un problème lié à la gestion du contexte SSL et qui entraînait un blocage du proxy a été corrigé.

Supervision du matériel

Référence support 77170

Sur les firewalls modèles SN2100, SN3100 et SN6100, des optimisations ont été apportées au mécanisme de supervision de la vitesse de rotation des ventilateurs afin de ne plus remonter à tort d'alarmes mettant en cause le bon fonctionnement de ceux-ci.

Haute disponibilité (HA)

Références support 78758 - 75581

Des problèmes de fuites mémoire notamment dans le mécanisme chargé de la gestion de l'état de la HA ou des changements de rôles au sein d'un cluster ont été corrigés.

Haute disponibilité (HA) et VPN IPsec (IKEV2 ou IKEv1+IKEv2)

Référence support 79874

Un problème d'accès concurrentiels entre le mécanisme de log du VPN IPsec et le cache de la HA, suite à une synchronisation de la configuration IPsec, provoquait une interruption du service VPN IPsec. Ce problème a été corrigé.

Relai DHCP

Référence support 79298

L'option Relayer les requêtes DHCP pour toutes les interfaces (module Configuration > Réseau > DHCP > Relai DHCP) exclut désormais les interfaces créées lorsque le serveur PPTP est activé (module Configuration > VPN > Serveur PPTP), et qui empêchaient le démarrage du service Relai DHCP.

VPN SSL

Références support 73353 - 77976

Le client VPN SSL applique désormais le délai avant renégociation des clés défini sur le serveur VPN SSL, par défaut de 14400 secondes (4 heures). Les utilisateurs ne bénéficiant pas du client Stormshield Network VPN SSL doivent récupérer un nouveau fichier de configuration sur le portail d’authentification du firewall pour que le nouveau comportement s’applique.

En savoir plus

VPN SSL en mode portail

Référence support 68759

Le VPN SSL en mode portail utilise désormais un composant qui est compatible avec :

Ceci permet de pallier à la suspension prévue des versions publiques de Java JRE 8 dans un avenir proche.

VPN IPsec

Référence support 79553

Lors de la mise à jour en version 4.1 de topologies VPN IPsec x509 (authentification par certificat) déployées à l'aide de SMC (Stormshield Management Center), les tunnels VPN IPsec concernés ne parvenaient plus à s'établir. Ce problème a été corrigé.

VPN IPsec IKEv1 - Authentification par certificat

Référence support 79156

Dans une configuration utilisant exclusivement des tunnels IPsec IKEv1, une anomalie dans le mécanisme de comparaison des Distinguished Name (DN) définis dans les certificats présentés par les correspondants locaux et distants empêchait l'établissement de ces tunnels VPN IPsec. Ce problème a été corrigé.

Sandboxing

Référence support 76120

Des alertes "Sandboxing license not available" ne sont plus émises à tort sur les firewalls ne disposant pas de la licence sandboxing (Breach Fighter) et pour lesquels le sandboxing n'est pas activé dans la configuration.

TPM

Sur les firewalls équipés d'un module TPM (Trusted Platform Module), le chiffrement des certificats ondisk est à nouveau fonctionnel et le système peut y accéder lorsque la clé symétrique du TPM a été changée.

Certificats et PKI

Référence support 78734

La requête d'affichage des points de distribution des CRL (CRLDP) appliquée à une sous autorité de certification (sous-CA) renvoyait à tort les CRLDP de l'autorité parente de cette sous-CA.
Cette anomalie a été corrigée et la commande appliquée à une sous-CA affiche désormais correctement les CRLDP qui lui sont propres.

Réseau

Passerelle par défaut

Référence support 78996

Il est de nouveau possible de définir sur le firewall une passerelle par défaut située dans un réseau IP public autre que le plan d'adressage public du firewall.

Bridge - Adresses MAC

Référence support 74879

Dans le cas d'interfaces rattachées à un bridge, lorsqu’un équipement réseau est déplacé et que le trafic réseau qu'il génère n'est donc plus lié à la même interface physique, le firewall associe désormais automatiquement l'adresse MAC de cet équipement à la nouvelle interface dès la réception d'une requête Gratuitous ARP issue de l'équipement. Ceci permet d'assurer la bonne continuité du filtrage pour l'équipement déplacé.
La bascule de l'équipement ne sera effective que si l'adresse MAC est identique après déplacement.

Supervision des interfaces - Courbes historiques

Références support 78815 - 73024

Le mécanisme de récupération des noms d'interfaces destiné à générer les courbes historiques était sensible à la casse : certaines courbes historiques n'étaient ainsi pas affichées. Cette anomalie a été corrigée.

Prévention d'intrusion

Protocole DCERPC

Référence support 77417

Le moteur d'analyse du protocole DCERPC pouvait créer à tort plusieurs centaines de squelettes de connexions, entraînant alors une consommation CPU excessive du firewall.
Ce problème, qui pouvait notamment empêcher le firewall de répondre aux requêtes de suivi d'état de la HA et provoquer une instabilité du cluster, a été corrigé.

Commande sfctl

Référence support 78769

L'utilisation de la commande sfctl avec un filtre sur une adresse MAC ne provoque plus un redémarrage inopiné du firewall.

Interface Web d'administration

Tableau de bord - Interfaces

Référence support 77313

Suite à la création d'un agrégat de liens, l'ordre d'affichage des interfaces dans le widget Réseau du tableau de bord n'est plus modifié à tort.

Portail captif

Référence support 78651

La personnalisation du logo affiché sur le portail captif (module Configuration > Utilisateurs Authentification Portail Captif Configuration avancée) est désormais correctement prise en compte.