Avertissement

Les clients ayant un équipement avec un des numéros de série disponibles sur ce lien sont concernés par la mise à jour référencée dans le tableau. Les autres numéros de série ne sont pas concernés.

2. Correctifs

2.1. Correction de la répartition de la charge de travail de Suricata

Depuis la version 2.5.3.103, les CPUs n’utilisent pas entièrement leur puissance disponible. Ce bug est dû à la technologie de conteneurisation LXC qui prend sur elle d’effectuer une altération inattendue et indésirable du système. Cette altération a été retirée du code de LXC, et l’équilibrage rétabli.

2.2. Corruption de la détection de flux légitimes

Suricata 4.1.6 inclut un correctif de l’éditeur lié à la CVE-2019-18625 pour prévenir certaines techniques de contournement de la détection.

En raison de ce correctif, certains flux légitimes ne sont pas détectés.

Nous avons désactivé celui-ci pour restaurer la détection correcte de ces flux.

Les versions 2.5.3.101 et antérieures ne sont pas affectées par ce bug.

2.3. Correction d’un problème de reconnaissance de certains formats de fichiers .zip

Depuis la version v2.5.3.102, un bug avait été introduit pour la détection de certains fichiers .zip. Celui-ci était lié à une optimisation excessive des performances. Ce correctif permet la détection correcte de tous les fichiers .zip, sans sacrifier les performances.

2.4. Correction partielle d’un problème d’extraction de fichiers lors de certaines transactions TCP

Les sessions TCP qui fonctionnent de la manière suivante empêchent le GCap de remonter un fichier reconstruit correctement au GCenter:

  • Initial 3-way handshake.

  • Envoi du fichier dans son intégralité avec le drapeau PUSH sans ACK intermediaire.

  • ACK de l’ensemble des segments et fermeture de la connexion par RST.

Ce rapport erroné perturbe le fonctionnement du GCap qui n’envoie pas le fichier au GCenter.

Nous avons compensé ce souci par le développement d’un correctif partiel qui envoie tout de même les fichiers au GCenter ne perturbant plus le fonctionnement du GCap. Ce correctif ne peut cependant retrouver les métadonnées associées aux fichiers concernés par ce bug. Les métadonnées rapportées pour ces fichiers sont donc fausses, nous les avons fixées à des valeurs reconnaissables :

  • 127.0.0.1 pour l’adresse IP source et de destination.

  • 12345 pour le port TCP source et de destination.

  • Protocole de transport http.

Le correctif ajouté est déclenché périodiquement toutes les 15 minutes et introduit donc une latence entre le moment où les fichiers sont extraits sur le GCap et le moment où ils sont envoyés au GCenter.

2.5. Correction d’un problème de stabilité du démon de mise à jour des règles

Le démon en charge de la mise à jour des règles peut s’arrêter inopinément lorsque la connectivité avec le GCenter est perdue. Cette erreur a une très faible probabilité de survenir et est présente depuis la version 2.5.3.2. Le correctif s’assure que la condition de survenue de l’erreur soit mieux encadrée pour ne plus provoquer l’arrêt inopiné, et journaliser l’événement.

2.6. Correction de la génération des règles de reconstruction de fichiers lors de l’utilisation de cluster d’interface en mode multitenant

Lorsque des cluster d’interfaces sont employés, en combinaison avec l’utilisation de detection ruleset de type multi-tenant, un problème peut survenir dans la génération des règles relatives à la reconstruction de fichier. Cela peut rendre la reconstruction de fichier inopérante dans ce cas précis. Nous avons corrigé ce problème.