Correctifs de SNS 4.2.1
Système
Sauvegarde de configuration - Trusted Platform Module (TPM)
Référence support 79671
Lors d'une sauvegarde de configuration avec le paramètre privatekeys positionné à none (paramètre uniquement modifiable à l'aide de la commande CLI / Serverd : CONFIG BACKUP), les clés privées stockées en mode ondisk sur le TPM ne sont plus déchiffrées à tort.
Référence support 79671
Il n'est plus possible de lancer deux sauvegardes de configuration en même temps ou dans un laps de temps très court. Les clés privées stockées en mode ondisk sur le TPM ne sont ainsi plus déchiffrées à tort.
Haute disponibilité
Sur les configurations en haute disponibilité, une optimisation a été apportée à l'option Redémarrer toutes les interfaces pendant le basculement (à l'exception des interfaces HA), destinée à indiquer aux équipements tiers de connexion réseau (commutateurs,...) tout changement de rôle au sein du cluster. Cette option n'est en effet plus activée sur des agrégats de liens lorsque la case Activer l'agrégation de liens lorsque le firewall est passif est cochée.
En savoir plusLes erreurs survenant lors de la mise à jour du membre passif d'un cluster sont désormais correctement affichées dans l'interface Web d'administration du firewall
Haute disponibilité - Clés SSH
Lors du passage à une version SNS antérieure (accompagné d'une remise en configuration d'usine du firewall) d'une configuration en haute disponibilité générée en version 4.2, les clés SSH du cluster sont désormais correctement supprimées.
Haute disponibilité - Annuaire LDAP
Référence support 78461
Une anomalie dans la synchronisation des données LDAP, liée à une mauvaise gestion du caractère spécial "\" potentiellement présent dans le mot de passe d'accès à l'annuaire, rendait cet annuaire LDAP inopérant. Cette anomalie a été corrigée.
Haute disponibilité - Synchronisation des objets
Référence support 77441
Le mécanisme de synchronisation des objets entre les membres du cluster cessait de fonctionner lorsque le serveur DNS utilisé pour résoudre les objets de type FQDN n'acceptait pas les requêtes DNS basées sur TCP. Cette anomalie a été corrigée.
Proxies
Référence support 79204
Des problèmes de fuites mémoire dans les proxies ont été corrigés.
Références support 79957 - 80108 - 79952
Dans une configuration utilisant de l'authentification multi-utilisateurs, le chargement complet d'une page Web intégrant une directive CSP (content-security-policy) pouvait dysfonctionner. Cette anomalie a été corrigée.
Référence support 79858
Un problème d'accès concurrentiel lors de l'enregistrement d'une nouvelle connexion par le proxy a été corrigé. Ce problème pouvait entraîner un arrêt inopiné du firewall et un changement de rôle des membres d'une configuration en haute disponibilité.
Proxy SMTP
Référence support 78196
Un redémarrage inopiné du proxy pouvait survenir suite à la mise en file d'attente d'un e-mail et de la réception d'une erreur SMTP 421 émise par le serveur. Cette anomalie a été corrigée.
Référence support 77586
L'activation du proxy SMTP, associée au déchiffrement SSL des flux sortants et à l'analyse antivirale sur le trafic SMTP (avec l'action Passer sans analyser pour les options Lorsque l'antivirus ne peut analyser et Lorsque la collecte de données échoue du paramétrage de l'analyse protocolaire SMTP) ne provoque plus à tort la journalisation multiple des mêmes événements dans le fichier l_smtp.
Proxy HTTP
Référence support 79584
Dans une configuration possédant toutes les conditions suivantes :
- Le proxy HTTP est utilisé,
- L'antivirus Kaspersky est activé,
- Le filtrage d'URL est activé.
L'émission par un navigateur Internet de plusieurs requêtes HTTP contenues au sein d'une connexion TCP unique (pipelining) n'est plus susceptible de provoquer un redémarrage inopiné du service proxy.
Agent SNMP
Références support 77226 - 78235
L'OID "SNMPv2-MIB::sysObjectID.0", permettant d'identifier la nature de l'équipement interrogé, présentait la valeur par défaut liée à net-snmp au lieu de présenter la valeur propre à Stormshield. Cette anomalie a été corrigée.
Références support 77787 - 78693 - 77779 - 78164 - 78967
Des problèmes de consommation mémoire excessive aboutissant à un arrêt inopiné du service Agent SNMP ont été corrigés.
Référence support 78761
Les messages SNMP informRequest sont désormais considérés comme une requête SNMP valide et ne génèrent plus l'alarme bloquante "Protocole SNMP invalide" (snmp:388).
Configuration des annuaires
Références support 70940 - 71329 - 75280 - 77783
La longueur maximale de la chaîne de caractères représentant le sujet du certificat importé pour autoriser la connexion SSL à l'annuaire LDAP interne a été portée de 128 à 256 caractères.
VPN IPsec
Références support 78593 - 73609
Pour les topologies IPsec déployées via SMC, les certificats des correspondants n'étaient pas affichés dans la configuration IPsec du firewall.
Ce problème, qui pouvait inciter un administrateur à sélectionner de nouveau un certificat pour le correspondant, rendant alors la configuration IPsec inopérante, a été corrigé.
VPN IPsec - Règles de filtrage implicite
Référence support 77096
La règle de filtrage implicite "Autoriser ISAKMP (port 500 UDP) et le protocole ESP pour les correspondants VPN IPsec" autorise désormais le trafic IPsec initialisé par des interfaces internes de type loopback.
VPN IPsec - Nom de correspondant
Un nom de correspondant de plus de 44 caractères n’empêche plus l'établissement du tunnel IPsec concerné.
Réputation des machines
Référence support 77080
La présence d'un objet invalide dans la liste des machines dont la réputation est supervisée ne provoque plus une erreur système lors d'une tentative de rechargement du proxy.
Filtrage et NAT
Référence support 78647
L'export au format CSV des règles de filtrage / NAT générait à tort une valeur "Any" pour le champ "#nat_to_target" du fichier d'export, dans le cas où une règle de filtrage n'était associée à aucune règle de NAT. Cette anomalie empêchait alors l'import de ce fichier CSV dans SMC si la règle de filtrage concernée avait pour action "Bloquer".
Référence support 76700
En cas d'erreur de configuration au sein de la politique de filtrage, le firewall ne chargeait aucune règle de filtrage (y compris implicite) lors d'un redémarrage et bloquait donc tous les flux. Ce problème, qui imposait alors d'accéder en console série / VGA au firewall afin d'activer une politique fonctionnelle, a été corrigé.
Référence support 79526
Lorsqu'un groupe contenait 128 objets ou plus dont au moins un avec une adresse MAC forcée, la règle utilisant ce groupe n'était plus jamais appliquée lorsqu'un flux lui correspondait. Cette anomalie a été corrigée.
Références support 79533 - 79636 - 80412 - 80376
Lors de l'activation ou désactivation d'un objet temps, la réévaluation des connexions correspondant à la règle de filtrage contenant cet objet temps ne provoque plus un redémarrage inopiné du firewall.
Référence support 79311
Une règle de translation d'adresse précisant une adresse IP destination et / ou un port destination pour le trafic après translation ne fonctionnait pas au travers d'un tunnel IPsec. Cette anomalie a été corrigée.
VPN SSL
Lors de la tentative d'établissement d'un tunnel VPN SSL avec un firewall dont le mode "furtif" (stealth mode) est désactivé, le premier paquet envoyé par le client VPN SSL n'est plus ignoré à tort par le firewall et le tunnel s'établit correctement.
Supervision des tunnels VPN SSL
Référence support 77801
Le nom des utilisateurs connectés via VPN SSL était affiché en clair dans le module de supervision de ces tunnels, même lorsque l'administrateur connecté ne bénéficiait pas de l'accès aux données personnelles. Cette anomalie a été corrigée.
Authentification - Comptes temporaires
Référence support 79296
Lorsque la politique de sécurité définie sur le firewall exige une longueur de mots de passe supérieure à 8 caractères, l'ajout, la modification ou la suppression de la méthode d'authentification de type comptes temporaires ne génère plus une erreur système.
Certificats et PKI
Les Certificate Revocation List (CRL) renseignées dans les certificats sont désormais téléchargées au même titre que celles précisées dans les CA.
Configuration initiale par clé USB
Référence support 75370
Lorsque plusieurs périphériques sont connectés (exemple : clé USB et carte SD), seule la clé USB est désormais prise en compte.
Prévention d'intrusion
Protocole SSL
Référence support 77817
Une erreur dans la déclaration du champ ExtensionLength de l'analyse protocolaire SSL provoquait à tort des alarmes bloquantes "Paquet SSL invalide" (alarme ssl:118) pour des paquets SSL Client Hello légitimes. Cette anomalie a été corrigée.
Protocole SMB v2
Référence support 78216
Une anomalie dans le moteur d'analyse du protocole SMB pouvait provoquer à tort l'alarme "Protocole NBSS/SMB2 invalide" (alarme nb-cifs:157) et ainsi entraîner le blocage de flux SMBv2 légitimes. Cette anomalie a été corrigée.
Protocole SMB - CIFS
Références support 77484 - 77166
Des anomalies dans l'analyse protocolaire SMB - CIFS pouvaient provoquer à tort l'alarme bloquante "Protocole NBSS/SMB invalide" (alarme nb-cifs:158) lors d'un accès légitime à une ressource disque partagée Microsoft Windows. Ces anomalies ont été corrigées.
Protocole DNS
Référence support 77256
Une anomalie dans l'analyse protocolaire DNS provoquait à tort l'alarme bloquante "Attaque possible DNS rebinding" (alarme dns:154) lors de la réponse d'un serveur DNS présentant une adresse IP externe composée de son adresse IPv6 concaténée avec son adresse IPv4 (mapping IPv4 - IPv6). Cette anomalie a été corrigée.
Protocole SMTP
Référence support 77661
Dans une configuration telle que :
- Le moteur de prévention d'intrusion analyse le protocole SMTP,
- L'analyse antivirale est activée pour les flux SMTP,
- Le moteur d'analyse antivirale Kaspersky est utilisé sur le firewall,
- Une Taille max. pour l'analyse antivirale et sandboxing est paramétrée.
L'analyse d'un e-mail contenant une pièce jointe excédant la taille définie ne déclenche plus à tort l'alarme bloquante "Protocole SMTP invalide" (alarme smtp:121).
Mode Fastpath
Références support 76810 - 77932
Un problème d'accès concurrentiel lors de l'injection des statistiques de connexions dans le moteur de prévention d'intrusion a été corrigé. Ce problème pouvait provoquer une consommation CPU importante ainsi qu'un rejet inopiné de paquets réseau sur les interfaces IX (modules 2x10Gbps et 4x10Gbps fibre).
Matériel
Configuration par clé USB
Références support 79645 - 79283
Lors de la configuration d'un firewall à l'aide d'une clé USB, un message d'information est désormais affiché en console et un délai d'attente de deux minutes est initié lorsqu'il est nécessaire de retirer la clé USB pour continuer les opérations en cours (mise à jour de firmware, rattachement d'un firewall à un cluster). Le retrait de la clé USB interrompt ce compteur.
Ce mécanisme permet d'éviter les erreurs de déchiffrement de clés sur les firewalls disposant d'un TPM (SN3100, SNi20).
Machines virtuelles
Numéros de série des firewalls VPAYG
Référence support 76157
Les numéros de série des firewalls VPAYG (numéro de série du firewall auquel est ajoutée une extension de type "-XXXXXXXX") n'étaient pas reconnus par le mécanisme de supervision de la haute disponibilité. Cette anomalie a été corrigée.
Firewalls EVA déployés sur VMWare avec interfaces 10Gb/s
Référence support 76546
Pour les firewalls déployés sur une infrastructure VMWare, le débit maximal affiché pour des interfaces 10Gb/s utilisant le pilote vmxnet3 n'est plus limité à tort à 10Mb/s.
Interface Web d'administration
Interfaces
Référence support 77682
La suppression d'une interface GRETAP parente d'un VLAN masquait ce VLAN de la liste des interfaces bien qu'il soit toujours défini dans la configuration du firewall. Cette opération laisse désormais bien visible le VLAN à la racine de la liste des interfaces disponibles.
Référence support 77014
L'état de connexion des interfaces USB / Ethernet (4G) est désormais correctement détecté par le système et affiché dans le module Configuration > Réseau > Interfaces.
Interfaces - Profils de configuration des modems
Un compte administrateur en lecture seule ne pouvait pas afficher les profils de configuration des modems. Cette anomalie a été corrigée.
Interfaces - GRETAP
Référence support 78800
Le MTU affecté à une interface GRETAP lors de sa création est de nouveau correct (1462 octets contre 1500 dans les versions 4 précédentes).
Protocoles
Référence support 78157
Après avoir édité et modifié un nom de profil d'analyse protocolaire puis changé de module de configuration, au retour dans le module d'analyse protocolaire modifié, le menu Éditer n'est plus vide.
Protocoles - BacNET/IP
Le service avec confirmation confirmedTextMessage apparaissait à tort deux fois dans le groupe Remote Device Management (identifiants 19 et 20). L'identifiant 20 est désormais correctement affecté au service reinitializeDevice.
Sauvegardes automatiques - Serveur personnalisé
Référence support 78018
Le port défini lors de la création d'un serveur de sauvegarde personnalisé est de nouveau correctement présent dans l'URL affichée au sein du module de configuration.
Veuillez noter qu'il ne s'agissait que d'une anomalie d'affichage.
Authentification - Méthode Radius
Référence support 76824
Lors de l'accès à la configuration du serveur Radius, si le champ clé pré-partagée était accidentellement effacé, une clé pré-partagée vide était enregistrée en lieu et place de la valeur précédente. Ce problème a été corrigé et le firewall refuse toute valeur vide pour ce champ.
Filtrage d'URL - Filtrage SSL
Référence support 77458
Le résultat de la catégorisation d'une URL (modules Filtrage d'URL et Filtrage SSL) ne reste plus affiché en permanence en bas de l'écran même lors d'un changement de module.
Référence support 79017
La modification simultanée de plusieurs règles de filtrage SSL ou de filtrage d'URL entraînait un nombre anormalement élevé de commandes système. Cette anomalie a été corrigée.
Objets Web - Groupes d'objets
Référence support 76325
Le champ de recherche des groupes de catégories n'est plus sensible à la casse.
Objets Web
Référence support 76327
Un clic sur la colonne de tri du contenu immédiatement après la création d'une nouvelle catégorie d'URL ou de certificats :
- Ne crée plus d'erreur système si aucune autre catégorie n'était sélectionnée lors de l'opération de création,
- N'affiche pas à tort le contenu d'une autre catégorie si celle-ci était sélectionnée lors de l'opération de création.
VPN IPsec
Référence support 74210
L'ajout d'un séparateur de règles IPsec dans une politique comportant plus d'une page de règles ne provoque plus le renvoi systématique à la première page de cette politique IPsec.
Références support 74966 - 75821
Un double-clic sur un séparateur de règles IPsec ouvre correctement celui-ci en édition, et la modification de ce séparateur est de nouveau pleinement fonctionnelle.
Référence support 75810
Lors de la création ou de la modification d'un correspondant, le passage d'une authentification par certificat à une authentification par clé pré-partagée, suivi d'un retour à une authentification par certificat sans avoir rechargé la page de configuration, ne provoque plus d'erreur système liée à la détection du certificat initialement sélectionné.
Références support 77246 - 77264 - 77274
La création ou de la modification d'un correspondant dont la configuration contenait une erreur (signalée par un message dans le champ de Vérification de la politique) pouvait néanmoins être validée. Cette anomalie, qui entraînait une erreur de rechargement de la configuration VPN IPsec, a été corrigée.
Référence support 77443
La création, modification ou suppression d'une clé pré-partagée depuis la grille des clés pré-partagées pour les tunnels mobiles (module Configuration > VPN IPsec > onglet Identification) n'est plus susceptible de créer un conflit de clés et d'empêcher l'établissement des tunnels IPsec utilisant ces clés.
VPN IPsec - Correspondants
Des contrôles additionnels ont été ajoutés pour une meilleure gestion de la duplication, du renommage ou de la suppression d'un correspondant en cours de modification (modifications non sauvegardées).
Certificats et PKI
Référence support 78965
Après avoir importé dans la PKI une CA externe (opération uniquement réalisable en ligne de commande), il n'était pas possible de déclarer cette CA comme CA par défaut (pour le proxy SSL par exemple), ou de sélectionner cette CA lors de la création d'une identité (utilisateur, serveur...). Cette anomalie a été corrigée.
Il est désormais possible de renseigner des alias (champ Subject Alternative Name) lors de la création d'une identité serveur. Les dernières versions des navigateurs Web exigent parfois ce champ.
Portail captif
Référence support 78805
Lors de la redirection vers la page d'authentification, le champ Mot de passe était sélectionné par défaut en lieu et place du champ Nom d'utilisateur lorsque celui-ci était vide. Cette anomalie a été corrigée.
Filtrage et NAT - Géolocalisation et Réputation des adresses IP publiques
Référence support 80980
Lorsqu'un groupe géographique ou un groupe de réputation d'adresses IP publiques est utilisé dans une règle de filtrage / NAT, l'info bulle affichée au survol de ce groupe n'indique plus à tort le message "Objet non trouvé".