Securepoint UTM v12
Securepoint UTM v12Build 12.7.4
- Release Date: 29.10.2024
- Geplanter Rollout Zeitraum: 14 Tage
- Maintenance / Security / Operating System
- Aktualisierung des Kernels Behebt u.a. Probleme mit virtuellen Maschinen auf Basis von KVM mit VirtIO-Schnittstellen
- VPN Client wurde auf 2.0.43 aktualisiert
- Feature
- Beim DHCP Relay können nun mehrere Zielserver angegeben werden
- Bugfixes
- Dienste DHCP-Relay und DHCP-Server sind jetzt zusammengeführt unter dem Dienstenamen DHCP-Server & -Relay in der UI unter Anwendungen zu finden
- Bei IPSec Verbindungen wurde unter Umständen nicht das unter "Local Gateway" eingestellte Gateway genutzt
- IPv6 Router Advertisements konnten unnötige Route-Updates auslösen
- Wurde eine große Anzahl an Interfaces konfiguriert kam es zu Problemen mit DHCP
- Neu angelegte Benutzer mit Administrationsrechten konnten sich nicht per SSH verbinden
- Problem behoben, durch das ältere UTM Software Versionen nicht direkt auf die neueste Version aktualisieren konnten
- Wurden viele ACLs im Reverse Proxy mit der Nginx Engine angelegt, konnte dieser nicht mehr starten
Known_issues
- Known Issues
Betroffene Komponente | Beschreibung |
---|---|
IDS/IPS bzw. Logmeldungen Alertingcenter bei Verwendung von nftables v12.7.1 |
Wurde für Testzwecke nftables als Rule Engine aktiviert, kann es im Alerting Center zu vermehrten Meldungen durch geblockte Verbindungen der Threat Intelligence Liste kommen. Grund ist, das auch Verbindungen auf nicht geöffneten Ports gemeldet werden. |
Build 12.7.3
- Release Date: 12.09.2024
- Geplanter Rollout Zeitraum: 7 Tage
- Maintenance / Security / Operating System
- Aktualisierung des Kernels
- Aktualisierung von OpenSSL (CVE-2024-6119)
- Feature
- OTP kann nun für einzelne SSL-VPN Tunnel aktiviert werden
- Bugfixes
- Cloudbackup Informationen konnten in SNMP Abfragen fehlen
- Bei Verwendung von Entra wurden keine Spam-Reports an entsprechende Benutzer verschickt
- Beim Bearbeiten von Modem Konfigurationen gab es einen Fehler, der das Speichern verhinderte
- Diverse kleinere Anpassungen der Admin-Oberfläche
- Wurden mehrere IP-Adressen als Prüfungs-Endpunkte bei einer Bond-Schnittstelle angegeben wurde dennoch nur eine IP angezeigt
- Virtuelle und dynamische IP-Adressen werden bei Bond Schnittstellen nun nicht mehr angezeigt
- ARP Verbindungsprüfung bei Bond Schnittstellen funktionierte nicht
- Auf Cluster-Fallback Geräten gab es einen Darstellungsfehler, falls statische und virtuelle IPs sich überschnitten haben
- Der Alerting-Center Bericht konnte nicht manuell versendet werden
- WLAN Einstellungen ließen sich nicht mehr speichern
- Doppelt vergebene Ports im Reverse Proxy mit nginx führten zu Problemen
Known_issues
- Known Issues
Betroffene Komponente | Beschreibung |
---|---|
Securepoint OS – Treiber v12.7.3 |
Bei dem Betrieb als virtuelle Maschine auf Basis von KVM wurden Einschränkungen im Zusammenhang mit den VirtIO Treibern identifiziert. Auf einigen Systemen sind Einbußen in der Übertragungsgeschwindigkeit beobachtet worden.
Im Log sind dabei folgende Meldungen zu beobachten: |
Securepoint OS – Update v12.7.3 |
Wenn auf einem passiven Node im Cluster virtuelle IP-Adressen auch statisch auf dem passiven Node vergeben werden, kommt es beim Upgrade auf eine Version 12.7.3 zu einem Fehler während der Migration der Datenbank. Als Folge wird automatisch ein Rollback auf die vorherige Version durchgeführt. |
DHCP-Server v12.7.2.1 |
Werden durch den DHCP-Server sehr viele Netzwerke bedient, wurde beobachtet, dass der Dienst nicht korrekt startet. |
Gleichzeitige Nutzung von DHCP-Server und -Relay v12.7.2.1 |
Bei der parallelen Nutzung von DHCP-Server und -Relay kann es zu Problemen bei der Verarbeitung von DHCP-Anfragen kommen. |
NTLM-Authentifizierung im Reverse Proxy mit nginx v12.7.2 |
Vereinzelt kann die NTLM-Authentifizierung unter nginx im Reverse Proxy fehlschlagen |
IDS/IPS bzw. Logmeldungen Alertingcenter bei Verwendung von nftables v12.7.1 |
Wurde für Testzwecke nftables als Rule Engine aktiviert, kann es im Alerting Center zu vermehrten Meldungen durch geblockte Verbindungen der Threat Intelligence Liste kommen. Grund ist, das auch Verbindungen auf nicht geöffneten Ports gemeldet werden. |
Build 12.7.2.1
- Release Date: 16.08.2024
- Geplanter Rollout Zeitraum: 14 Tage
- Bugfix
- Bei SSL-VPN Verbindungen konnten falsche Subnetze an die Gegenstellen gesendet werden
Known_issues
- Known Issues
Build 12.7.2
- Release Date: 14.08.2024
- Geplanter Rollout Zeitraum: gestoppt
- Maintenance / Security / Operating System
- Aktualisierung von OpenSSL (CVE-2024-4741, CVE-2024-4603, CVE-2024-2511)
- Fehler bei der Verarbeitung von IPv6 Adressen behoben (CVE-2024-41993)
- VPN Client wurde auf 2.0.42 aktualisiert
- Features
- Bei Neuinstallationen ist die nginx Engine für den Reverse Proxy als Standard konfiguriert
- Zur Windows-Domain Dienstgruppe wurden weitere Portfreigaben hinzugefügt
- Neue Dienstgruppe für Securepoint Unified Backup Ports hinzugefügt
- Beim HTTP Proxy lassen sich Viruscan Pattern für den Securepoint Anitvirus Pro cachen
- Beschreibung zur Erkennung und Kennzeichnung potentiell gefälschter Links in E-Mails wurde im Administrations-Webinterface überarbeitet
- Für den Paketfilter wurden weitere IPv6 ICMP Typen hinzugefügt
- Bugfixes
- Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen verbessert: Mailfilter, Logging, Wireguard und Zertifikate
- Anlegen neuer Benutzer mit mehreren Gruppen funktionierte nicht
- Für das Mailrelay sind ausgehende IP-Adressen, welche einer BOND-Schnittstelle zugewiesen sind, erlaubt
- Fehler behoben, bei welchem der NGinx Engine Reverse Proxy bei gleichzeitiger Aktivierung von NTLM und Websocket nicht startet
- Validierung für falsche req_header ACL Einträge beim NGinx Engine Reverse Proxy verbessert
- Bei Wireguard wurde eine AllowedIP Freigabe 0.0.0.0/0 nicht richtig verarbeitet
- Für Azure/Entra ID schlug eine Authentifzierung fehl wenn Passwörter mit Plus-Zeichen verwendet wurden
- Eine Websession konnte mit bereits abgelaufenen Benutzern gestartet werden
- Ein über USC Profile konfiguriertes Cloudbackup wurde erst nach einem Neustart gesetzt
- Fehler für den ACME LetsEncrypt Dienst behoben, bei welchen es Probleme mit Großbuchstaben beim Subject Alternative Name gab
- Zusätzlich sind alle Änderungen aus den Reseller Preview-Versionen enthalten:
- Ausnahme:
Revert - Verbesserung der neuen Funktion "DNS Server vom Provider nutzen" bei Multipathrouting wird vorerst nicht in das Public Release übernommen
- Operating System
- Security Bugfix: Behebung einer kritischen Sicherheitslücke durch Aktualisierung des SSH Dienstes auf Version 9.8p1 (CVE-2024-6387)
- Security Bugfix: Aktualisierung des Kernels (CVE-2024-1086)
- Security Bugfix: Fehler behoben, durch den unter Umständen OTP Codes nicht korrekt validiert wurden (CVE-2024-39340)
- Zum Zeitpunkt der Veröffentlichung dieses Updates geben wir keine weiteren Informationen zu dieser Sicherheitslücke bekannt.
- Wir geben unseren Kunden die Möglichkeit, ihre Systeme abzusichern, bevor Details einen möglichen Angriffsweg verraten könnten.
- Zu einem späteren Zeitpunkt werden dann weitere Informationen dazu veröffentlicht.
- Maintenance
- Aktualisierung der Virenscanner Engine
- Aktualisierung des Mailscanners
- Aktualisierung des Betriebssystems und aller Komponenten
- Aktualisierung der DHCP Komponenten
- Features
- Neue Features:
- Erkennung und Kennzeichnung potentiell gefälschter Links in E-Mails wurde überarbeitet
- Dryrun führt nun bei Datenbankkonvertierungsfehlern einen automatischen Rollback durch
- Reverse Proxy mit nginx unterstützt nun NTLM
- Per CLI ist ein Wechsel zur Regelwerk-Engine: nftables möglich.
- Beim Reverse Proxy lässt sich eine neue NGinx Engine konfigurieren
- Das Logging lässt sich direkt in der tabellarischen Ansicht des Paketfilters konfigurieren
- Statische DHCP Leases werden nach Pools gruppiert
- Eine farbliche Hervorhebung lässt sich beim Log einstellen
- Das CLI-Terminal ist im Administrations-Webinterface andockbar und in der Größe veränderbar
- Implizite Regeln sind über eine kachelbasierte Ansicht einstellbar
- Administrations-Webinterface:
- Wireguard Verbindungen können nun auch gezielt für lokal konfigurierte Benutzer angelegt werden
- Validierung von Schlüsseln, die zu Wireguard-Verbindungen hinzugefügt werden, wurde verbessert
- Die Menüpunkte Erweiterte Einstellungen und Templates sind nun direkt verfügbar
- DHCP Relay wurde um einen Debug-Modus erweitert
- Darstellung der Appliance im Widget wurde für größere Geräte überarbeitet
- Lokale Konfigurationen lassen sich kopieren
- Beim Anlegen von Netzwerkobjekten werden Zonen automatisch nach Routen ausgefüllt
- Beim Webfilter lassen sich auch Regeln kopieren
- Hinzufügen Dialog für IPv6 Routen wurde optimiert
- Optimierung der "DNS Server vom Provider nutzen" Funktion bei Multipathrouting
- Neue Warnung beim Ausloggen und Schließen des Browsertabs wird angezeigt, falls noch ungespeicherte Änderungen vorliegen
- Netzwerkobjekte und Leases sind in der Netzwerktopologie löschbar
- Warnung beim Aktivieren des Cluster Wartungsmodus über eine Websession wird ausgegeben
- WireGuard:
- Interfaces in der Zone "internal" oder "firewall-internal" als Allowed IPs werden nun markiert
- Warnung beim Löschen von aktuell verwendeten WireGuard Keys wird angezeigt
- Mailfilter:
- Tag-System wurde angepasst ( Achtung: Es kann vereinzelt vorkommen dass bestehende Tags nicht mehr korrekt greifen. Nach dem erneuten Hinzufügen einer entsprechenden E-Mail zu einem Tag, funktioniert der Filter wieder korrekt.)
- Allen E-Mails wird ihr Hash Wert in das Kopf Feld "X-Securepoint: FHASH" eingetragen
- Hash Werte werden zur Auswertung an Securepoint gesendet
- Bugfixes
- Unter Umständen wurden im Mailfilter URLs nicht korrekt verarbeitet, was dazu führte, dass E-Mails falsch behandelt wurden
- Icon von Netzwerkobjekt mit 0.0.0.0/0 wurde falsch angezeigt
- An einigen Stellen wurde die Auswahl von Zertifikaten überarbeitet, so dass nur Zertifikate mit privatem Schlüssel gewählt werden können
- Fehlerhaftes Verhalten der englischen Admin-Benutzeroberfläche behoben
- "WireGuard Einstellungen aus der Gruppe verwenden" im Benutzer Hinzufügen-Dialog war fehlerhaft
- Wireguard Benutzer-Peers wurde nach einem Neustart der Appliance nicht korrekt geladen
- Paketfilterregeln konnten innerhalb einer Regelgruppe nicht mehr verschoben werden
- Speichern des IPSec Phase 2 Dialogs erzeugte eine Fehlermeldung
- Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: Paketfilter, Mailfilter, Appliance Widget, Zertifikate, QoS, Netzwerkkonfiguration und Responsive Design
- Limitierung für Mailtag Namen wurde eingebaut
- Mailconnector Multidrop Oberfläche war nicht mehr nutzbar, wenn ein Custom Envelope Header genutzt wurde
- Ein Deaktivieren von Router Advertisement löschte darüber angelegte Netze nicht
- Ansprache und Datumsformat im Spam Bericht wurde geändert
- Wake on LAN (WOL) verwendet nun mehrere Zielports
- Prefix Delegation war unter Umständen fehlerhaft
- Neue Wireguard Peers konnten mit der Option "Schlüssel direkt eingeben" nicht gespeichert werden
Known_issues
- Known Issues
Build 12.7.1.3 Reseller Preview
- Release Date: 08.07.2024
- Geplanter Rollout Zeitraum: 1 Tag
- Nur für Geräte mit NFR-Lizenz verfügbar
Diese Reseller Previews sind Beta-Versionen unserer Software. Das Hauptziel dieser Versionen ist es, wertvolles Feedback von unseren Partnern zu erhalten. Dieses Feedback fließt in die finale Version unserer Software ein, bevor diese an die Endkunden ausgeliefert wird.
Wir bedanken uns bei allen Partnern für ihre Unterstützung und ihre Beiträge zur Optimierung unserer Software.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
- Bugfix: Unter Umständen wurden im Mailfilter URLs nicht korrekt verarbeitet, was dazu führte, dass E-Mails falsch behandelt wurden
Build 12.7.1.2 Reseller Preview
- Release Date: 03.07.2024
- Geplanter Rollout Zeitraum: 1 Tag
- Nur für Geräte mit NFR-Lizenz verfügbar
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
- Operating System
- Security Bugfix: Behebung einer kritischen Sicherheitslücke durch Aktualisierung des SSH Dienstes auf Version 9.8p1 (CVE-2024-6387)
Build 12.7.1.1 Reseller Preview
- Release Date: 28.06.2024
- Geplanter Rollout Zeitraum: 1 Tag
- Nur für Geräte mit NFR-Lizenz verfügbar
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
- Maintenance
- Default Regelwerk-Engine: nftables wurde vorübergehend wieder durch iptables ersetzt.
Ein Wechsel per CLI ist möglich.system rule_engine set value "nftables"
bzw.
system rule_engine set value "iptables"
Known_issues
- Known Issue
Betroffene Komponente | Beschreibung |
---|---|
IDS/IPS bzw. Logmeldungen Alertingcenter bei Verwendung von nftables | Wurde für Testzwecke nftables als Rule Engine aktiviert, kann es im Alerting Center zu vermehrten Meldungen durch geblockte Verbindungen der Threat Intelligence Liste kommen. Grund ist, das auch Verbindungen auf nicht geöffneten Ports gemeldet werden. |
Build 12.7.1 Reseller Preview
- Release Date: 27.06.2024
- Geplanter Rollout Zeitraum: 1 Tag
- Nur für Geräte mit NFR-Lizenz verfügbar
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
- Maintenance
- Operating System:
- Security Bugfix: Aktualisierung des Kernels (CVE-2024-1086)
- Security Bugfix: Fehler behoben, durch den unter Umständen OTP Codes nicht korrekt validiert wurden (CVE-2024-39340)
- Zum Zeitpunkt der Veröffentlichung dieses Updates geben wir keine weiteren Informationen zu dieser Sicherheitslücke bekannt.
- Wir geben unseren Kunden die Möglichkeit, ihre Systeme abzusichern, bevor Details einen möglichen Angriffsweg verraten könnten.
- Zu einem späteren Zeitpunkt werden dann weitere Informationen dazu veröffentlicht.
- Maintenance: Aktualisierung der Virenscanner Engine
- Maintenance: Aktualisierung des Mailscanners
- Neue Features:
- Feature: Regelwerk-Engine iptables wurde durch nftables ersetzt
- Feature: Erkennung und Kennzeichnung potentiell gefälschter Links in E-Mails wurde überarbeitet
- Feature: Dryrun führt nun bei Datenbankkonvertierungsfehlern einen automatischen Rollback durch
- Feature: Reverse Proxy mit nginx unterstützt nun NTLM
- Administrations-Webinterface:
- Feature: Wireguard Verbindungen können nun auch gezielt für lokal konfigurierte Benutzer angelegt werden
- Feature: Validierung von Schlüsseln, die zu Wireguard-Verbindungen hinzugefügt werden, wurde verbessert
- Feature: Die Menüpunkte Erweiterte Einstellungen und Templates sind nun direkt verfügbar
- Feature: DHCP Relay wurde um einen Debug-Modus erweitert
- Feature: Darstellung der Appliance im Widget wurde für größere Geräte überarbeitet
- Bugfixes
- Bugfix: Icon von Netzwerkobjekt mit 0.0.0.0/0 wurde falsch angezeigt
- Bugfix: An einigen Stellen wurde die Auswahl von Zertifikaten überarbeitet, so dass nur Zertifikate mit privatem Schlüssel gewählt werden können
- Bugfix: Fehlerhaftes Verhalten der englischen Admin-Benutzeroberfläche behoben
- Bugfix: "WireGuard Einstellungen aus der Gruppe verwenden" im Benutzer Hinzufügen-Dialog war fehlerhaft
- Bugfix: Wireguard Benutzer-Peers wurde nach einem Neustart der Appliance nicht korrekt geladen
- Bugfix: Paketfilterregeln konnten innerhalb einer Regelgruppe nicht mehr verschoben werden
- Bugfix: Speichern des IPSec Phase 2 Dialogs erzeugte eine Fehlermeldung
Known_issues
- Known Issue
Betroffene Komponente | Beschreibung |
---|---|
IDS/IPS bzw. Logmeldungen Alertingcenter bei Verwendung von nftables | Wurde für Testzwecke nftables als Rule Engine aktiviert, kann es im Alerting Center zu vermehrten Meldungen durch geblockte Verbindungen der Threat Intelligence Liste kommen. Grund ist, das auch Verbindungen auf nicht geöffneten Ports gemeldet werden. |
Build 12.7.0 Reseller Preview
- Release Date: 23.05.2024
- Geplanter Rollout Zeitraum: 1 Tag
- Nur für Geräte mit NFR-Lizenz verfügbar
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
- Maintenance
- Operating System:
- Aktualisierung des Betriebssystems und aller Komponenten
- Aktualisierung der DHCP Komponenten
- Features
- Neue Funktionen:
- Beim Reverse Proxy lässt sich eine neue NGinx Engine konfigurieren
- Das Logging lässt sich direkt in der tabellarischen Ansicht des Paketfilters konfigurieren
- Statische DHCP Leases werden nach Pools gruppiert
- Eine farbliche Hervorhebung lässt sich beim Log einstellen
- Das CLI-Terminal ist im Administrations-Webinterface andockbar und in der Größe veränderbar
- Implizite Regeln sind über eine kachelbasierte Ansicht einstellbar
- Administrations-Webinterface:
- Lokale Konfigurationen lassen sich kopieren
- Beim Anlegen von Netzwerkobjekten werden Zonen automatisch nach Routen ausgefüllt
- Beim Webfilter lassen sich auch Regeln kopieren
- Hinzufügen Dialog für IPv6 Routen wurde optimiert
- Optimierung der "DNS Server vom Provider nutzen" Funktion bei Multipathrouting
- Neue Warnung beim Ausloggen und Schließen des Browsertabs wird angezeigt, falls noch ungespeicherte Änderungen vorliegen
- Netzwerkobjekte und Leases sind in der Netzwerktopologie löschbar
- Warnung beim Aktivieren des Cluster Wartungsmodus über eine Websession wird ausgegeben
- WireGuard:
- Interfaces in der Zone "internal" oder "firewall-internal" als Allowed IPs werden nun markiert
- Warnung beim Löschen von aktuell verwendeten WireGuard Keys wird angezeigt
- Mailfilter:
- Tag-System wurde angepasst ( Achtung: Es kann vereinzelt vorkommen dass bestehende Tags nicht mehr korrekt greifen. Nach dem erneuten Hinzufügen einer entsprechenden E-Mail zu einem Tag, funktioniert der Filter wieder korrekt.)
- Allen E-Mails wird ihr Hash Wert in das Kopf Feld "X-Securepoint: FHASH" eingetragen
- Hash Werte werden zur Auswertung an Securepoint gesendet
- Bugfixes
- Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: Paketfilter, Mailfilter, Appliance Widget, Zertifikate, QoS, Netzwerkkonfiguration und Responsive Design
- Limitierung für Mailtag Namen wurde eingebaut
- Mailconnector Multidrop Oberfläche war nicht mehr nutzbar, wenn ein Custom Envelope Header genutzt wurde
- Ein Deaktivieren von Router Advertisement löschte darüber angelegte Netze nicht
- Ansprache und Datumsformat im Spam Bericht wurde geändert
- Wake on LAN (WOL) verwendet nun mehrere Zielports
- Prefix Delegation war unter Umständen fehlerhaft
- Neue Wireguard Peers konnten mit der Option "Schlüssel direkt eingeben" nicht gespeichert werden
Build 12.6.5.1
- Release Date: 03.07.2024
- Geplanter Rollout Zeitraum: 3 Tage
- Operating System
- Security Bugfix: Behebung einer kritischen Sicherheitslücke durch Aktualisierung des SSH Dienstes auf Version 9.8p1 (CVE-2024-6387)
Build 12.6.5
- Release Date: 21.06.2024
- Geplanter Rollout Zeitraum: 3 Tage
- Security Bugfix
- Fehler behoben, durch den unter Umständen OTP Codes nicht korrekt validiert wurden (CVE-2024-39340)
- Zum Zeitpunkt der Veröffentlichung dieses Updates geben wir keine weiteren Informationen zu dieser Sicherheitslücke bekannt.
- Wir geben unseren Kunden die Möglichkeit, ihre Systeme abzusichern, bevor Details einen möglichen Angriffsweg verraten könnten.
- Zu einem späteren Zeitpunkt werden dann weitere Informationen dazu veröffentlicht.
Build 12.6.4.2
- Release Date: 14.05.2024
- Geplanter Rollout Zeitraum: 5 Tage
- Bugfix
- Bei IPSec Verbindungen mit IKEv1 konnte der Phase 1 Dialog nicht gespeichert werden
- Ein über die USC Profile gesetztes Cloud Backup Passwort konnte unter Umständen im Klartext im Audit Syslog auftauchen
Build 12.6.4.1
- Release Date: 22.04.2024
- Geplanter Rollout Zeitraum: 5 Tage
- Bugfix
- Fehler behoben, durch den lokale SSL-VPN Site-to-Site Client Verbindungen nicht mehr editiert werden konnten
Build 12.6.4
- Release Date: 17.04.2024
- Geplanter Rollout Zeitraum: gestoppt
- Bugfixes
- Das Laden von importierten Konfigurationen mit mehr Schnittstellen als aktuell auf der Maschine verfügbar hat zu Problemen geführt
- Das Setzen von leeren Werten im Mailarchivdialog wird verhindert
- Beim Setzen von sysctl Variablen wurde das VLAN Namensschema nicht berücksichtigt
Known_issues
Betroffene Komponente | Beschreibung | Workaround |
---|---|---|
SSL VPN Site-to-Site Client Konfiguration |
Nach dem Update auf v12.6.4 können im Bearbeitungsdialog einer SSL VPN Verbindung für S2S Clients keine Änderungen mehr vorgenommen werden. Man gelangt zwar in den Bearbeitungsdialog, aber ein Klick auf hat keine Auswirkung.
|
Bearbeitung über das CLI oder Rollback auf die vorherige Version. |
Build 12.6.3
- Release Date: 27.03.2024
- Geplanter Rollout Zeitraum: 7 Tage
- Bugfixes
- Fehler behoben, durch den eine falsche Verlinkung in der HTTP-Proxy Statistik angezeigt wurde
- Für SNMP war die Ausgabe der VPN-Verbindungen bei einer hohen Anzahl nicht vollständig
- Systemweite Proxy-Einstellungen werden nun von GeoIP-Updates und Cloudbackups verwendet
- Unter Umständen wurde der RNDC-Key des Nameserver Dienstes nicht erfolgreich erneuert
- IP-Adressen wurden nicht richtig vom Systemweiten Proxy übernommen
- Lokale Benutzer konnten fälschlicherweise in zwei Wireguard-Konfigurationen erscheinen
- Mögliche Neustart-Probleme des Namensauflösungsdienstes behoben
Build 12.6.2
- Release Date: 12.03.2024
- Geplanter Rollout Zeitraum: 7 Tage
- Maintenance
- Operating System:
- Aktualisierung des Betriebssystems und Komponenten
- Aktualisierung des Nameservers (CVE-2023-50387, CVE-2023-50868, CVE-2023-5517, CVE-2023-5679)
- VPN Client wurde auf 2.0.41 aktualisiert
- Fehler in der Upload Funktion des Webinterfaces behoben
- Features
- Administrations-Webinterface:
- USC-Profil Funktion kann nun aktiviert werden
- Im Datenschutz Dialog lässt sich die Anonymisierung der Anwendungen nun kollektiv aktivieren und deaktivieren
- Bei eingeschalteter Cluster-Konfiguration ist das Administrations-Webinterface deutlich zwischen dem aktiven und passiven Cluster unterscheidbar
- Verhalten der Mailfilter TNEF Verarbeitung kann spezifischer eingestellt werden
- Das DHCP Widget wird nicht mehr unterstützt und enthält eine Verlinkung zum neuen Netzwerktopologie-Dialog
- Statische Leases sind im Netzwerktopologie-Dialog einzusehen
- Automatische Firmwareaktualisierungen lassen sich nun auch bei aktivierter USC nutzen
- Sonstiges:
- Eine Drosselung für eingehende UDP und TCP Pakete ist über das CLI konfigurierbar und bei Neuinstallationen für UDP auf dem externen Interface aktiviert
- SNMP Abfragen für eine IPSec-Verbindung mit mehreren Subnetzen sind nun möglich
- Der Umfang der Wake on LAN Funktion wurde optimiert
- Bugfixes
- Fehler behoben, bei welchem eine Default Route nach einem UTM Neustart nicht gesetzt wurde
- Eine fehlerhafte Konfiguration einer OpenVPN-Verbindungen konnte eine erhöhte Systemlast hervorrufen
- Unter Umständen konnten IPv4 Adressen vom DHCP Client nicht bezogen werden
- Das Verhalten der DHCP-Prüfung während des Logins beim Administrations-Webinterfaces wurde optimiert
- Generierte PDF OTP QR-Codes wurden unter Umständen nicht vollständig angezeigt
- Falsche Ausgabe für das OpenVPN Status Widget wurde behoben
- Der Login am Administrations-Webinterface konnte während des Herunterladens einer neuen Firmware zeitweise blockiert werden
- Wireguard Konfigurationen mit ausschließlich Benutzer-Peers wurden nicht korrekt geschrieben
Build 12.6.1 Reseller Preview
- Release Date: 15.02.2024
- Geplanter Rollout Zeitraum: 1 Tag
- Nur für Geräte mit NFR-Lizenz verfügbar
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
- Features
- Neue Features:
- Dark Mode verfügbar
- Bond-Konfiguration für Ethernet-Schnittstellen
- OpenVPN: Unterstützung von TLS-Crypt für Roadwarrior und S2S
- Schnittstellenüberprüfung vor Cluster-Synchronisation
- Aktualisierungen:
- Cluster-Syncronisierung von Virus-Patterns, Mailarchive Hashes (Spam) und der GEO-IP Liste
- Wireguard Status per SNMP auslesbar
- Allowlist im IGMP-Proxy konfigurierbar
- Sonstiges:
- Layout der Auswahl der SSL Interception wurde für den HTTP Proxy überarbeitet
- Einheiten im QoS sind in Gbit/s einstellbar
- IKEv1 Protokoll wird als veraltet gekennzeichnet (IPSec)
- Bugfixes
- Fehler behoben, bei welchem eine Firmware Übertragung auf die Spare nicht funktionierte
- Bei der E-Mail-Statistik wurde die Liste der einzelnen Kategorien nicht vollständig angezeigt
- Log Cloud Meldungen ließen sich nicht herunterladen
- Unter Umständen konnten Paketfilter Regeln nicht mehr aktualisiert werden, sobald eine Regel mit einem Full Cone NAT samt Dynamischen Hostnamen * konfiguriert wurde
- Das Auflösen von URL-Shortener Adressen war mit dem HTTP Proxy manchmal fehlerhaft
- Support-Benutzer konnten nicht mit aktivierten OTP-Optionen betrieben werden
- Fehler behoben bei welchem eine große Anzahl von VLANs nicht sofort nach dem Neustart zur Verfügung standen
- VLAN Schnittstellen konnten keine DHCP Client Adresse beziehen
- Validierung von Falsch eingegebenen IP Adressen wurde für den DHCP Pool Dialog angepasst
- Bei einer verzögerten Internet Einwahl wurde das UTM Autoupdate nicht abgeschlossen
- Unter Umständen wurden bei IPSec Verbindungen die Tunnel SAs nicht gelöscht
- Eine Speichern und Schließen Aktion funktionierte nicht beim SSL-VPN Wizard
- Eine laufende USC Websession wurde beendet, sobald ein Cloud-Backup Passwort gesetzt wurde
- Validierung von Falsch eingegebenen Nameserver Einträgen wurde verbessert
- Fehler behoben, bei welchem kein Prefix für die WAN Schnittstelle gesetzt wurde nach Modem neustart
Build 12.6.0.1 Reseller Preview
- Release Date: 23.01.2024
- Geplanter Rollout Zeitraum: 1 Tag
- Nur für Geräte mit NFR-Lizenz verfügbar
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
- Maintenance
- Hintergrundfarbe der Benutzeroberfläche wurde angepasst
- Bugfix
- Fehler behoben, bei welchem Freigegebene OpenVPN Servernetzwerke nicht angezeigt wurden
- Beim Mailrelay ließ sich kein DKIM Signierung Eintrag einstellen
- Unter Umständen konnten IPv4 und IPv6 Adressen vom DHCP Client nicht bezogen werden
Build 12.6.0 Reseller Preview
- Release Date: 16.01.2024
- Geplanter Rollout Zeitraum: 1 Tag
- Nur für Geräte mit NFR-Lizenz verfügbar
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
- Maintenance / Security Bugfix
- Operating System:
- Aktualisierung des Betriebssystems und aller Komponenten
- Aktualisierung des SSH-Dienstes auf Version 9.6p1 (CVE-2023-48795)
- Aktualisierung des DHCP-Clients
- Das SOC wird nicht mehr unterstützt
- Benutzeroberfläche wurde mit einem neuen Design vollständig überarbeitet
- Konfiguration lässt sich mithilfe einer Tastenkombination speichern Strg alt s
bzw.ctrl cmd s - Es lassen sich vordefinierte Syslog Filter im Live-Log auswählen
- Der aktuelle USC Verbindungsstatus wird angezeigt
- Ein bereits vorhandener Support-Benutzer lässt sich löschen und neu anlegen
- Der "Portfilter" wurde in Paketfilter umbenannt
- Das DHCP- Widget wurde durch einen neuen Netzwerktopologie-Dialog ersetzt
- Features
- Neue Anwendungen:
- Ein IGMP-Proxy-Dienst lässt sich konfigurieren
- Der Nameserver hat einen MDNS-Repeater
- Wireguard:
- Import von bestehenden Konfigurationen im WireGuard Assistenten
- Der Status der impliziten Wireguard-Regel wird mit angezeigt
- X25519 Schlüssel lassen sich mit einem Private-Key für Peers konfigurieren
- IPSec:
- Es lassen sich mehrere Ciphersuite-Optionen für IKEv2 auswählen
- Cluster:
- Der system info Befehl gibt auch Informationen zum aktuellen Cluster-Status aus
- Fallback:
- Es sind jetzt mehrere Ping Check Ziele möglich
- SNMP:
- Name einer OpenVPN-Verbindung lässt sich mit SNMP auslesen
- Mailfilter:
- Anhand von ausgewählten E-Mails lassen sich Patterns zum gezielten Blocken erstellen
- Erkennung von möglicherweise gefälschten Links in E-Mails wurde hinzugefügt
- Alerting Center:
- Testberichte lassen sich manuell abschicken
- Paketfilter:
- Automatisch generierte Gruppen sind konfigurierbar
- Schlüssellängen:
- ACME Account-Schlüssellänge lässt sich einstellen
- Die Schlüssellänge ist bei der Erstinstallation für CA und Serverzertifikat einstellbar
- Neue Funktionen:
- Statische IPv6-Routen mit einer Gateway-IP lassen sich einer Schnittstelle direkt zuordnen
- Beim Verändern von Schnittstellen können betroffene Netzwerkobjekte dynamisch angepasst werden
- Beim Router Advertisement lässt sich einstellen, ob sowohl IPv4 und IPv6 Adressen vergeben werden sollen oder nur IPv4
- Radius Timeout für SSL-RW OpenVPN Verbindungen ist über das CLI konfigurierbar
- Verwendung des Provider DNS-Servers lässt sich beim Nameserver Dienst ein- und ausschalten
- Bugfixes
- Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert
- Authentifizierung mit E-Mail-Adressen funktionierte nicht mit Entra ID (Azure AD)
- Doppelte Leerzeichen im Namen einer CA verhinderten das Laden von IPSec-Verbindungen
- Beim "DHCP Lease hinzufügen" Dialog wurden Doppelpunkte im Leasenamen für IPv6-Verbindungen vorgeschlagen
- Proxy-Widget Statistiken wurden nicht vollständig aktualisiert
- Im Alerting Center Log wurden einzelne Platzhalter nicht richtig ersetzt
- PPTP-Interface hinzufügen Fehlermeldung wurde korrigiert
Known_issues
- Known Issues
Betroffene Komponente | Beschreibung | Workaround |
---|---|---|
Network - DHCP Client | Bezieht die UTM eine IPv4-Adresse per DHCP und es ist eine Relay Agent-IP-Adresse (giaddr) gesetzt, wird die IP-Adresse von der UTM nicht verwendet. | Es ist kein Workaround verfügbar. Der Fehler wird in der Version 12.6.0.1 korrigiert. |
SSLVPN – Servernetzwerke | Die freigegebenen Servernetzwerke werden im Dialog SSL-VPN bearbeiten nicht angezeigt und könnten bei einem Speichervorgang überschrieben werden. | Die SSLVPN-Instanz kann per CLI editiert werden. (openvpn set id…) |
Build 12.5.5
- Release Date: 04.01.2024
- Geplanter Rollout Zeitraum: 3 Tage
- Security Bugfix / Maintenance
- Behobene Sicherheitslücke im Zusammenhang mit der Mailrelay-Anwendung (CVE-2023-51764)
Build 12.5.4.1
- Release Date: 11.12.2023
- Geplanter Rollout Zeitraum: 3 Tage
- Security Bugfix / Maintenance
- Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst (CVE-2023-49286, CVE-2023-49285, CVE-2023-50269) CVE-2023-50269: Squid-Proxy - Denial of Service durch Endlosschleife
follow_x_forwarded_for
Sicherheitslücke durch Patch beseitigt
CVE-Kategorisierung erfolgte erst später.
Eintrag ergänzt am 15.12.2023
Build 12.5.4
- Release Date: 21.11.2023
- Geplanter Rollout Zeitraum: 7 Tage
- Bugfixes
- Bei Verwendung des Traceroute Netzwerktools wurde unter Umständen das Ergebnis stark zeitverzögert oder gar nicht angezeigt
- Beim Mailscanner wird das FILTERED Flag im Syslog nun nur noch angezeigt, falls der Body verändert wurde sowie bei Anwendung der TNEF-Decodierung
- SNI Validierung beim HTTP Proxy ließ sich nicht über das Administrations-Webinterface deaktivieren
- Fehler behoben, durch den keine Verbindung zu einem SSL-VPN Tunnelblick Client aufgebaut werden konnte
Build 12.5.3.1
- Release Date: 8.11.2023
- Geplanter Rollout Zeitraum: 3 Tage
- Bugfixes
- Unter Umständen konnten IPSec Verbindungen eine erhöhte Systemlast hervorrufen
- Fehler behoben, bei dem eine Authentifizierung am Captive Portal mit abgelaufenen Captive Portal Benutzern weiterhin möglich war
- Captive Portal Portfilter Regel wurde nicht mehr erkannt und konnte nicht mehr angelegt werden
- Eine SNMP-Abfrage des IPSec Status war nach einem Neustart nicht möglich
Dieser Hinweis gilt auch für alle späteren Versionen, wird zukünftig aber nicht mehr extra angezeigt.
Build 12.5.3
- Release Date: 1.11.2023
- Geplanter Rollout Zeitraum: 5 Tage
- Maintenance / Security Bugfix
- Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst (CVE-2021-46784,CVE-2022-41317)
Hinweis: Es liegen nicht für alle korrigierten Sicherheitslücken CVEs vor. - Aktualisierung von OpenSSL (CVE-2023-4807)
- Aktualisierung des Linux-Kernels
- Aktualisierung des Virenscanners
- Bugfixes
- Fehler bei der CLI Autovervollständigung wurde behoben
- Fehler behoben, bei welchem die Wireguard Konfiguration nicht gelöscht wurde
Build 12.5.2
- Release Date: 17.10.2023
- Geplanter Rollout Zeitraum: 7 Tage
- Maintenance / Security Bugfix
- Aktualisierung von curl (CVE-2023-38545), (CVE-2023-38546)
- Aktualisierung von glibc (CVE-2023-4911)
- Webserver-Zertifikate werden beim erneuten Generieren und bei einer Neuinstallation mit einer 4096bit-RSA Schlüssellänge erstellt
- Standard RSA Schlüssellänge wird bei einer Neuinstallation für ACME Accounts auf 3072bit erhöht
- Features
- HTTP Proxy:
- Es lassen sich SSL-Interception Ausnahmen für SNI aktivieren
- USC:
- Bestimmte USC-Befehle erfordern zum Ausführen einen gesetzten Websession-PIN
- Bugfixes
- Fehler behoben, durch den SSL VPN Clientnetzwerke sich nicht bearbeiten ließen
- Unter Umständen wurde der IPSec Status für bestehenden Verbindungen falsch angezeigt
- AD/LDAP Einstellungen unterstützen nun IPv6
- Ein widerrufenes Client Zertifikat wurde beim Reverse Proxy nicht richtig übermittelt
- Fehler behoben, durch den Benutzernamen mit Leerzeichen nicht mit NTLM Authentifizierung beim HTTP Proxy funktionierten
- Netzwerkobjekte, welche Hostnamen beinhalten, werden im Administrations-Webinterface gekennzeichnet
- Beim HTTP Proxy war es nicht möglich VLAN Adressen als ausgehende IP einzustellen
- Beim Administrations-Webinterface wurden nicht alle Informationen für Netzwerkobjekte angezeigt
- Fehler behoben, durch den eine ACME Zertifikatserneuerung nicht ausgeführt wurde
Build 12.5.1 Reseller Preview
- Release Date: 07.09.2023
- Geplanter Rollout Zeitraum: 1 Tag
- Nur für Geräte mit NFR-Lizenz verfügbar
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
- Maintenance / Security Bugfix
- Aktualisierung von Komponenten
- VPN Client wurde auf 2.0.40 aktualisiert
- Reseller Preview Versionen werden nun gesondert kenntlich gemacht
- Features
- Operating System:
- Veraltete kryptografische Algorithmen für Zertifikate (SSL Legacy Support) sind im Webinterface konfigurierbar
Es wird nicht empfohlen diese Option zu verwenden - IPv4/IPv6 route hints lassen sich nun auch vergeben, wenn die jeweils andere IP Version mit DHCP eingestellt ist
- USC / USR:
- Zu UTMs ohne öffentliche IP-Adresse, die mit dem Portal verbunden sind, kann nun eine Websession geöffnet werden
- Websessions sind nun auch verwendbar, wenn es keinen "admin" Benutzer gibt
- Wireguard:
- Der Wireguard Wizard lässt nun das Ändern des Endpunkt Ports zu
- Mailconnector:
- Bei Mailconnectorverbindungen lässt sich nun die TLS Version einstellen
- Alerting Center
- Für Alerting-Center-E-Mails kann nun DKIM aktiviert werden
- Administrations-Webinterface:
- In den AD/LDAP Einstellungen kann nun das selbe LDAP-Attribut für mehrere Attribute verwendet werden
- Sonstiges:
- Option zu SSL-VPN Verbindungen hinzugefügt, die es ermöglicht, sich von mehreren Quellen mit den gleichen Zugangsdaten einzuwählen
- Bugfixes
- Fehler behoben, durch den sensible Daten im Audit-Log auftauchen konnten
- Es sind nun keine Hostnamen mehr als Fallback-Einstellung zulässig
- Gruppen ohne Berechtigungen konnten nicht mehr gespeichert werden
- Ausnahme der Rekey und Lifetime Anpassungen für IKEv1 hinzugefügt
- Fehler behoben, durch den nur noch ein DNS Server im DHCP Pool gespeichert wurde
- Abändern von Benachrichtigungsleveln im Alerting Center wurde unter Umständen nicht korrekt umgesetzt
- E-Mail Adressen von öffentlichen Ordnern auf einem Exchange wurden nicht mehr korrekt ausgelesen
- Router Advertisement wurde bei der Erstellung eines IPv6-DHCP-Pools nicht korrekt berücksichtigt
- Alerting Center Berichte wurden auch verschickt, wenn keine Vorfälle aufgetreten sind
- Fehler behoben durch den IPv6 Adressen nur mit eckigen Klammern bei den AD/LDAP Einstellungen verwendet werden konnten
Build 12.4.4.1
- Release Date: 30.08.2023
- Geplanter Rollout Zeitraum: 3 Tage
- Security Bugfix: ClamAV wurde aktualisiert (CVE-2023-40477)
- Maintenance: IPSec strongswan wurde aktualisiert
Build 12.5.0 Reseller Preview
- Release Date: 10.08.2023
- Geplanter Rollout Zeitraum: 1 Tag
- Nur für Geräte mit NFR-Lizenz verfügbar
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
- Maintenance / Security Bugfix
- Aktualisierung des Nameservers (CVE-2023-2911, CVE-2023-2828, CVE-2023-2829)
- Features
- Operating System:
- Automatische Firmware Updates können nun lokal konfiguriert werden
- Azure kann nun zur Benutzerverwaltung angebunden werden
Known Issue: Das Mailrelay funktioniert noch nicht mit Azure Benutzer Konten
Known Issue: Azure Benutzer mit MFA Login können nicht verwendet werden - Zu der vorhandenen Fail2ban Funktion, wurde eine weitere Sicherung eingebaut um falsche Login-Versuche zu drosseln
- USC / USR:
- Die Websession wird nun durch eine PIN abgesichert
Known Issue: Websession Login per Benutzermaske funktioniert noch nicht und wird ab Version 12.5.2 implementiert
- IPSec:
- Rekeying und Lifetime werden nach dem Update auf Version 12.5.0 für eine verbesserte Kompatibilität angepasst
- WireGuard:
- Widget für WireGuard-Verbindungen zeigt nun auch Benutzern zugeteilte Verbindungen mit Status an
- Cluster:
- Cluster Wartungsmodus lässt sich nun im neuen Reiter Management einstellen
- HTTP Proxy:
- Option um Verbindungsorientiere Microsoft-Authentifizierung weiterzuleiten lässt sich konfigurieren
- DHCP:
- Ein next-server lässt sich nun bei DHCP Verbindungen einstellen
- Mailconnector:
- Prüfung von Zertifikaten ist nun konfigurierbar
- Mailfilter:
- Eine neue Kategorie "Unbekannt" ist nun im Web- und Mailfilter verfügbar
- Alerting Center:
- Neue Benachrichtigung für das Ereignis Fehlgeschlagene Websession-PIN-Verifikationen
- Administrations-Webinterface:
- Einrichtung von Netzwerkobjekten PPPoE und VDSL wurde zusammengefasst
- Ablaufdatum von importierten CRLs wird nun angezeigt
- Passwörter lassen sich nun ein- und ausblenden
- Die Konfiguration für das Export-Ziel und -Format von Schlüsseln wurde überarbeitet
- Sonstiges:
- Für Neuinstallationen ist die implizite Regel "Kein NAT für IPSec-Verbindungen" für IPSecTraffic standardmäßig aktiviert
- Der Validator von extc wurde erweitert um ungültige Einträge anzuzeigen
- Deaktivierung CLAMAV Virenscan Engine
- Bugfixes
- Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: Erstinstallation, Netzwerkobjekte, Wireguard, Portfilter
- Sonstiges:
- Fehler behoben, durch welchen eine falsche Absender Adresse für Alerting-Center E-Mails gesetzt wurde
- DHCP Pools mit einem "global" Namen wurden nicht in der Benutzeroberfläche dargestellt
- Eine gleichzeitige Konfiguration eines DHCP Servers und einer DHCP Schnittstelle wird nun für IPSec unterbunden
- Fehler im Mailarchiv behoben bei welchem eine Message-ID als Absender angezeigt wurde
- Eine gesetzte Mailfilter-Regel wurde unter Umständen nicht richtig umgesetzt
- Eingeloggte Administratoren konnten ihren eigenen Benutzer löschen oder umbenennen
Build 12.4.4
Release Date: 25.07.2023 Geplanter Rollout Zeitraum: 7 Tage
- Feature
- Operating System:
- Wurde bisher keine globale E-Mail Adresse in der UTM festgelegt, wird diese nun abgefragt
- Bugfix
- Fehler behoben, der bei UTMs mit konfiguriertem Full Cone NAT unter Umständen zu unkontrollierten Neustarts führte
- Fehler behoben, durch den der letzte Benutzer mit Administrator-Rechten nicht bearbeitet werden konnte
- Im Regel hinzufügen Dialog wird QoS nun korrekt deaktiviert
Build 12.4.2.1
Release Date: 10.07.2023 Geplanter Rollout Zeitraum: 5 Tage
- Bugfix: Fehler behoben durch den bei einer automatischen Aktualisierung über die Unified Security Console unter Umständen das Update nicht automatisch finalisiert wurde
Andernfalls starten Mailconnector und Proxy nicht!
Build 12.4.2
Release Date: 04.07.2023 Geplanter Rollout Zeitraum: 7 Tage
- Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
Andernfalls starten Mailconnector und Proxy nicht!
Build 12.4.1 Reseller Preview
- Features
- SSL-VPN:
- Renegotiation Optionen bei SSL-VPN Roadwarrior-Verbindungen wurden um die Option "12 Stunden" erweitert
- Option zu SSL-VPN Server Site to Site Konfigurationen hinzugefügt, bei der nur explizit zugewiesenen Zertifikaten eine Verbindung erlaubt wird
- WireGuard:
- Der WireGuard Wizard wurde um die Option ergänzt, per AD konfigurierte Peers zu berücksichtigen
- Mailfilter:
- Neue Kategorie "Untersuchung" wurde zum Mailfilter hinzugefügt, basierend auf dem neuen Spamfilter
- Threat Intelligence Filter wurde nun auch für UTM VPN Edition aktiviert
- Alerting Center:
- Im Alerting Center Report werden nun in Kürze ablaufende Zertifikate vermerkt
- Im Alerting Center lässt sich nun ein alternativer Empfänger für Berichte konfigurieren
- OTP:
- Für OTP lassen sich nun SHA1, SHA256 oder SHA512 einstellen
- Cluster:
- Für Cluster gibt es nun die Option, dass neu heruntergeladene Firmwareupdates automatisch, oder bereits aktivierte Firmwareupdates per Knopfdruck, auf der jeweils anderen UTM bereitgestellt werden
- Bugfixes
- Fehler behoben durch den leere E-Mailgruppen auf einem AD nicht mehr korrekt erkannt wurden
- Die Einstellung "DNS Anfragen nur aus gerouteten und VPN-Netzwerken erlauben" wurde erst nach Neustart des DNS-Services wirksam
- Beim Umbenennen von Benutzern konnte es zu Fehlern kommen
- Fehler behoben durch den einige Namen für ACME Zertifikate fälschlicherweise als ungültig erkannt wurden
- Eine PPP-Verbindung wurde immer mit IPv6 gestartet
- Bei Clientless VPN Verbindungen wurde bei Textübertragungen das letzte Zeichen entfernt
- Netzwerkobjekte mit IPv6 Adressen konnten nicht für Captive Portal verwendet werden
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.4.0 Reseller Preview
- Maintenance / Security Bugfix
- Operating System:
- Aktualisierung des Betriebssystems und aller Komponenten
- Neue Virusscan Engine wurde hinzugefügt
- Features
- Operating System:
- Kernel wurde auf Version 5.15.x aktualisiert
- In der Benutzeroberfläche lassen sich neue Firmware Updates nun manuell herunterladen
- WireGuard:
- Anpassungen und Verbesserungen der Benutzeroberfläche
- Neues Widget für WireGuard-Verbindungen verfügbar
- Unterstützung für WireGuard-Roadwarriorverbindungen mithilfe von Benutzer-/ Gruppenkonfiguration
- Download für WireGuard Client-Konfigurationen als QR-Code sind nun für Benutzer verfügbar
- WireGuard-Verbindungen sind nun über Benutzer-Attribute eines angebundenen ADs konfigurierbar
- Kompatibilität für Cluster Konfigurationen wurde verbessert
- GeoIP:
- Implizite GeoIP Regeln lassen sich nun auch via GeoIP-Gruppen anlegen
- ACME:
- Auswahl zwischen systemweiten oder manuell konfigurierten Nameservern für die ACME-Challenges lassen sich nun einstellen
- SNMP:
- SNMP Abfragen zu eingestellten nf_conntrack Werten als auch vorliegenden Updates sind nun möglich
- Aktualisierte MIBs stehen zum Download als V3 im RSP bereit
- Alerting Center:
- Neue Alert Meldungen für GeoIP und nf_conntrack
- Ein vordefinierter HTTP Request lässt sich beim Alerting Center einstellen
- Ein alternativer Empfänger kann den Berichten hinterlegt werden
- Erstinstallation:
- Im Installationsassistenten Schritt 3 lässt sich eine WLAN Bridge und STP aktivieren
- In Schritt 7 lassen sich CA und Server Zertifikate direkt über den Wizard generieren
- Portfilter:
- Portfilter Regeln lassen sich in der Benutzeroberfläche nun einzeln kopieren
- Für Netzwerkobjekte wird die Anzahl der verfügbaren Seiten angezeigt
- Neu angelegte Netzwerkobjekte werden vor den GeoIP Netzwerkobjekten angefügt
- Netzwerkobjektgruppen und Dienste werden nun als Labels in der Benutzeroberfläche dargestellt
- Nach Ablauf eines Support-Benutzers aktualisieren sich die dazugehörigen Portfilter-Regeln automatisch
- Administrations-Webinterface:
- Bei Cloudbackups wird nun angezeigt, mit welcher UTM Firmware Version diese erstellt wurden
- Beim DHCP Widget werden nun Leases und Netzwerkobjekte angezeigt
- Das Appliance Widget wurde verbessert
- Bugfixes
- Administrations-Webinterface:
- Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: GeoIP, IPSec, Netzwerkobjekte, Mailfilter, SSL-VPN, Benutzerdialog, WireGuard, Webfilter
- Sonstiges:
- Fehler behoben, bei welchem der OpenVPN Dienst eine fehlerhafte Session in der Benutzeroberfläche nicht beendet hat
- Mailfilter Regeln wurden bei der Funktion "Aktuelle Konfiguration drucken" nicht angezeigt
- Fehler behoben, durch welchen viele Syslog Meldungen nach dem Herunterladen einer Firmware angezeigt wurden
- Unter Umständen war das DHCP Relay mit mehr als 8 VLAN Interfaces nicht mehr Funktionsfähig
- In einer Cluster Konfiguration wird nun der DHCP Dienst auf der Spare nicht gestartet wenn er auf deaktiviert steht
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.3.6
Release Date: 29.03.2023 Geplanter Rollout Zeitraum: 7 Tage
- Security Bugfix: Aktualisierung von OpenSSL (CVE-2023-0286, CVE-2022-4203, CVE-2023-0216, CVE-2023-0217, CVE-2023-0401)
- Maintenance: Unterstützung für OpenVPN mit Legacy-Cipher wurde ermöglicht
- Feature: Beim Reverse-Proxy lassen sich nun gezielt TLS Versionen einstellen
- Bugfix: Fehler behoben, welcher dafür sorgte das zu viele USR Meldungen in das Audit-Log geschrieben wurden
- Bugfix: Ein Import von Passwort geschützten Zertifikaten war über die Benutzeroberfläche nicht möglich
- Bugfix: Eine Fehlkonfiguration beim DHCP Relay sorgte für eine Fehlfunktion des spnetd Dienstes
- Bugfix: Für IPSec ließ sich eine Verbindung mit einem ecp512bp Cipher nicht in der Benutzeroberfläche einstellen
- Bugfix: Updates für die Geo-IP Datenbank werden nun korrekt ausgeführt
Build 12.3.5
Release Date: 06.03.2023 Geplanter Rollout Zeitraum: 3 Tage
- Bugfix: Fehler behoben durch den IPSec L2TP Verbindungen nach einem Update auf 12.3.1 nicht mehr funktionierten
- Bugfix: Der spDYN mit eingeschaltetem Webresolver funktionierte nicht auf Internen- und Bridge-Netzwerkschnittstellen
- Bugfix: Die Webserver Option HTTP2 lies sich nicht aktivieren
Build 12.3.4
Release Date: 27.02.2023 Geplanter Rollout Zeitraum: 3 Tage
- Maintenance: Aktualisierung und Verbesserung des Mailrelay für Verbindungen mit IPv6 Clients
- Maintenance: Verbesserung des Verbindungsaufbaus zum USC/USR
- Bugfix: Fehler behoben durch den das OTP Eingabefeld der Login-Maske nicht ausfüllbar war
Build 12.3.3
- Maintenance: Aktualisierung der Virusscan Engine
- Bugfix: Importierung von pkcs12 Zertifikaten war fehlerhaft
- Bugfix: Fehler behoben durch den der NTP-Service nicht die Systemzeit automatisch synchronisiert hat
Build 12.3.2 Reseller Preview
- Bugfix: Problem behoben durch das die Verwendung von Clientless-VPN gestört wurde
- Bugfix: Die Synchronisierung per NTP-Zeitserver war fehlerhaft
Build 12.3.1 Reseller Preview
- Maintenance / Security Bugfix: Aktualisierung des Betriebssystems und aller Komponenten
- Feature: Aktualisierung der Antivirus- und Mail-Security-Technologien und Verbesserung der Spam und Malware Erkennung
- Feature: Die Anzahl der möglichen Source-Routen wurde erhöht
- Bugfix: Visuelle Fehler der Benutzeroberfläche ausgebessert in den Dialogen: HTTP-Proxy, Mail-Connector, Portfilter, IPSec
- Bugfix: Fehler behoben durch den Amazon-Links in E-Mails im Mailscanner zu Problemen führen konnten
- Bugfix: Fehler behoben durch den unter Umständen Zugangsdaten für eine mobile Verbindung nicht verwendet wurden
- Bugfix: Stabilität der Cloud Verbindung verbessert
Build 12.2.5.1
Release Date: 06.01.2023 Geplanter Rollout Zeitraum: 3 Tage
- Security Bugfix: Kritische Sicherheitslücke im Anmeldeprozess des Webinterfaces behoben (CVE-2023-22620, CVE-2023-22897)
Betroffen sind folgende Versionen:
12.2.5
12.2.4.1
12.2.4
12.2.3.4
12.2.3.3
12.2.3.2 Reseller Preview
Build 12.2.5
Release Date: 14.12.2022 Geplanter Rollout Zeitraum: 7 Tage
- Feature: Im Wireguard- und IPSec-Dialog lassen sich neu generierte (PSK) Pre Shared Key nun in die Zwischenablage kopieren
- Bugfix: Fehler behoben durch den das automatische QoS für Ethernet Schnittstellen nicht korrekt gesetzt wurde
- Bugfix: Im Reverse Proxy Wizard konnten keine IP Adressen als externe Domainnamen mehr hinterlegt werden
- Bugfix: Stabilität des Cloud-Loggings für den Unified Security Report verbessert
Build 12.2.4.1
- Bugfix: DynDNS Aktualisierung funktionierte ohne aktive Webresolver-Funktion nicht mehr
- Bugfix: Durch ein Mail-Connector Datenbank-Update wurden die Flags von Mailconnector-Verbindungen zurückgesetzt
- Bugfix: Geändertes Default-Verhalten des Mail-Connectors bei der Überprüfung der Server-Zertifikate verhinderte unter Umständen den Abruf von E-Mails
Build 12.2.4
- Security Bugfix: ClamAV wurde aktualisiert (CVE-2022-37434, CVE-2022-40303, CVE-2022-40304)
- Maintenance: USR Lognachrichten wurden an neuer SSL Interception Methode angepasst
- Feature: OAuth2 Provider für Google Workspace und Microsoft 365 lassen sich nun für den Mail-Connector konfigurieren
- Feature: IPSec wurde für DHCP/virtuelle IPs, Broadcast, EAP-TLS und EAP-MSCHAPv2 erweitert
- Feature: Beim Schlüsselexport im UI wird nun jeweils ein priv oder pub Präfix dem Dateinamen hinzugefügt
- Feature: Bei IPSec ist es nun möglich über die Benutzeroberfläche Mobike ein- und auszuschalten
- Bugfix: Fehler behoben durch den bei 10GBe-Einschüben das DHCP-Relay nicht funktionierte
- Bugfix: Fehler im Mailscanner behoben, durch den eine E-Mail mit TNEF Probleme bereiten konnte
- Bugfix: Fehler behoben durch den IPv6 Adressen mit aktivierter Prefix Delegation nicht richtig bei mehreren Schnittellen zugeordnet wurden
- Bugfix: Validierung von Sonderzeichen in URLs beim Mailfilter wurde überarbeitet
Build 12.2.3.4
- Security Bugfix: Aktualisierung des Kernels (CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722)
- Security Bugfix: Aktualisierung des Squid Dienstes (CVE-2022-41318)
- Maintenance: VPN Client wurde aktualisiert
- Bugfix: Traceroute mit IPv6 konnte im UI nicht ausgeführt werden
- Bugfix: Fehler behoben durch den Mails mit einem xlsx Anhang nicht aus der Quarantäne heruntergeladen werden konnten
- Bugfix: Validierung von Umlauten in URLs beim Mailfilter wurde überarbeitet
- Bugfix: Fehler behoben durch den der OpenVPN Dienst keine statischen IPv6 Adressen an Clients verteilt hat
- Bugfix: Unter Umständen wurde beim Einrichten einer LTE-Verbindung die manuell gesetzte APN nicht zum Verbindungsaufbau verwendet
Build 12.2.3.3
- Feature: WireGuard: In den Peer-Tabellen werden gesetzte Ports der Endpunkte nun mit angezeigt
- Bugfix: Einstellen von Portranges von Diensten wurde im UI benutzerfreundlicher gestaltet
- Bugfix: Fehler beim Setzen von Hostnamen am transparenten Proxy behoben, welcher eine falsche Filterregel erzeugte
- Bugfix: Fehler behoben durch den der OpenVPN Dienst nach einem Cluster-Switch nicht gestartet wurde
- Bugfix: Fehler im Mailscanner behoben, der zu einer hohen System Auslastung bei großen E-Mails führen konnte
Build 12.2.3.2 Reseller Preview
- Feature: Das Mailfilterverhalten wurde für Spam-Mails verbessert.
- Bugfix: Anpassungen bei den SSL-VPN Einstellungen für IPV6 Clients konnten zum Ausschluss von IPV4 Clients über die gleiche Verbindung führen.
- Bugfix: Problem behoben durch den Outlook-Kalender-Dateien in E-Mails fälschlicherweise gefiltert wurden.
- Bugfix: Wireguard Dialoge wurden weiter verbessert und kleinere Fehler behoben.
- Bugfix: Wireguard Peers mit unauflösbaren Hosts als Endpunkt konnten die Benutzeroberfläche einfrieren.
- Bugfix: Problem behoben durch das Netzwerkschnittstellen nicht mehr editiert werden konnten.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.2.3.1 Reseller Preview
- Security Feature: Die Sicherheit der Kommunikation zwischen dem Reverse-Proxy und der UTM bei der WebSession der Unified Security Console wurde durch zusätzliche Maßnahmen verbessert
Operating System:
- Feature: Der Kernel wurde auf Version 5.10.x aktualisiert
USC / USR:
- Feature: Im UI-Log lassen sich nun USC/USR-Cloud-Meldungen auswählen
GeoIP:
- Feature: Wenn aufgrund eines Fehlers GeoIP-Objekte neu initialisiert werden müssen, wird nun über das Alerting Center eine Warnmeldung ausgegeben
- Feature: GeoIP-Netzwerkobjekte können nun für beliebige Zonen eingerichtet werden
- Feature: GeoIP-Netzwerkobjekte können jetzt im Portfilter-Dialog ausgeblendet werden
- Feature: Es lassen sich nun Ausnahmen zu den impliziten GeoIP-Regeln für Quellen und Ziele definieren
- Feature: Es wurden für GeoIP die CLI-Befehle 'geolocation info' zum Abfragen des Datenbankstatus und 'geolocation update' zum Aktualisieren der Datenbank hinzugefügt
Wireguard:
- Bugfix: Die Benutzung der Wireguard Dialoge wurde überarbeitet und kleinere Fehler behoben
- Feature: Im Wireguard-Dialog läßt sich nun der Wert für den Keepalive in Sekunden einstellen
- Feature: Der Schlüssel-Dialog wurde für das Importieren und Exportieren von Schlüsseln über die Zwischenablage (Copy & Paste) überarbeitet
- Feature: Beim Einrichten einer Freigabe im Wireguard Dialog, die eine Default-Route in den Tunnel erzeugt, wird nun eine Warnmeldung ausgegeben
IPSEC:
- Feature: Es ist nun möglich im IPSec-Dialog den Dead-Peer-Detection-Delay und den DPD-Timeout über das UI einzustellen
- Feature: Per CLI lässt sich für IPSec IKEv2 nun die ike_rekeytime sowie die ike_lifetime konfigurieren
- Feature: Ein neues GENERATE_TRAFFIC -Flag für eine optimiertes Rekeying-Verhalten bei IPSec ist nun per CLI konfigurierbar
- Feature: Es ist nun möglich im IPSec-Dialog den Log-Level über das UI einzustellen
- Bugfix: Ein Fehler bei IPSec-Verbindungen, die Pools zur Zuweisung der IP-Adressen nutzen, wurde behoben
- Bugfix: Der "Beliebige Remote-Adressen"-Schalter wurde bei bestimmten IPSec-Konfigurationen nicht angezeigt
Nameserver:
- Feature: Die Extended DNS (EDNS) Protokoll-Erweiterungen lassen sich nun für alte DNS-Server, die das Protokoll nicht unterstützen, in den Namensserver-Einstellungen abschalten
Mailrelay:
- Feature: Es ist nun möglich Präferenzen für IPv4 oder IPv6 Protokolle für ausgehende E-Mails am Mailrelay einzustellen
- Feature: SASL Authentifizierung lässt sich nun über das UI deaktivieren
Mailarchiv:
- Feature: Quarantänisierte E-Mails können nun an alle ihre ursprünglichen Empfänger zugestellt werden
- Feature: Der Grund warum E-Mails abgelehnt wurden kann nun im UI abgerufen werden
WLAN:
- Feature: Das Beacon-Intervall wird jetzt als globale Option für alle WLAN-Schnittstellen (BSS) gesetzt
Erstinstallation:
- Feature: Im Erstinstallations-Assistent kann nun IPv6 (inkl. DHCPv6, Prefix Delegation und Router Advertisement) konfiguriert werden
- Feature: Bei einer Neuinstallation ist nun standardmäßig DHCP auf der externen Schnittstelle aktiviert
Portfilter:
- Feature: Im Portfilter-Dialog können nun beim Anlegen und Ändern einer Regel Quelle und Ziel-Netzwerkobjekt per Knopfdruck getauscht werden
- Feature: Es wurde im Portfilter ein Dienstobjekt für ICMPv6 hinzugefügt
- Feature: Netzwerkobjekte und Dienste können nun beim Bearbeiten einer Netzwerk- / Dienstegruppe einfacher hinzugefügt und entfernt werden
- Bugfix: Fehler behoben welcher dafür sorgte dass eine Portfilterregel mit Hide NAT für eine Schnittstelle mit einer gesetzten IPv6 Adresse nicht erstellt wurde
User-Interface:
- Feature: Im UI lässt sich nun ein Hilfsmodus für Farbfehlsichtige einschalten
- Feature: Im Support-Benutzer Dialog lassen sich nun die neu generierten Anmeldedaten in die Zwischenablage kopieren
- Feature: Im Alerting Center ist es nun möglich, die Absender E-Mail Adresse zu konfigurieren
- Feature: Beim Einrichten von VDSL/ PPPoE wird die vom Provider vergebene IPv6-Adresse nun automatisch dem WAN-Interface zugeordnet
Clientless-VPN:
- Feature: Es wurde eine Option hinzugefügt den lokalen Mauszeiger bei einer VNC Verbindung erzwungen darzustellen
- Bugfix: Es wurde ein Fehler im Clientless-VPN behoben, bei dem der Passwort Dialog trotz gespeichertem Passwort angezeigt wurde
CLI:
- Feature: Der Help CLI-Befehl help wurde komplettiert und eine Möglichkeit zum Filtern von Befehlen eingebaut
- Feature: Ein neuer CLI-Befehl system supportinfo wurde implementiert, um für den Support benötigte Daten gesammelt auszugeben
Sonstiges:
- Bugfix: Ein Fehler wurde behoben, welcher dafür sorgte, dass gefälschte Absender in der Mailquarantäne angezeigt werden konnten
- Bugfix: Ein Problem mit der Passwortauswahl beim Einspielen eines Cloud-Backups wurde behoben
- Bugfix: Bei einer Cluster Synchronisierung wurden gelöschte statische DHCP Leases nicht auf die Spare-UTM übertragen
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.2.2.8
Release Date: 09.06.2022 Geplanter Rollout Zeitraum: 7 Tage
- Security Bugfix: ClamAV wurde aktualisiert (CVE-2022-20803, CVE-2022-20792, CVE-2022-20770, CVE-2022-20796, CVE-2022-20771, CVE-2022-20785)
- Bugfix: Behebt eine mögliche Fehlkonfiguration des IPSec Dienstes im Zusammenhang mit X.509 Zertifikaten
Build 12.2.2.7
Release Date: 01.06.2022 Geplanter Rollout Zeitraum: 7 Tage
- Bugfix: Fehler behoben, welcher dafür sorgte, daß ein gestartetes Systemupdate nicht im Auditlog angezeigt wurde
- Bugfix: Bei deaktiviertem Last-Rule-Logging konnten die impliziten Geo IP Regeln nicht aktualisiert werden
Build 12.2.2.6
Release Date: 20.04.2022 Geplanter Rollout Zeitraum: 7 Tage
- Bugfix: Beim Anlegen eines Support-Benutzers wurde der Zugriff nicht automatisch freigegeben
- Bugfix: Die Verwendung des alten 802.11g Standards, konnte unter Umständen das WLAN der UTM beeinträchtigen
- Bugfix: Wurde die Anzahl der Reverse-Proxy Instanzen erhöht, startete der Reverse-Proxy nicht mehr
Build 12.2.2.5
Release Date: 05.04.2022 Geplanter Rollout Zeitraum: 7 Tage
- Security Bugfix: Aktualisierung des Kernels (CVE-2022-1015) (CVE-2022-1016)
- Bugfix: DHCP-Dienst startete nicht falls ein Pool mit nur einer IP Adresse angelegt wurde
- Bugfix: Die Fehlerbehandlung beim Laden der GeoIP Daten wurde verbessert
- Maintenance: VPN Client wurde aktualisiert
Build 12.2.2.4
Release Date: 28.03.2022 Geplanter Rollout Zeitraum: 7 Tage
- Bugfix: Fehler in den impliziten GeoIP-Regeln behoben
- Bugfix: Fehler behoben durch den Cluster-Konfigurationen bei UEFI Installationen nicht synchronisieren
- Bugfix: Es konnten mehrere Wireguard-Verbindungen mit dem gleichen Listening-Port angelegt werden
- Bugfix: Die Validierung im Wireguard-Dialog wurde überarbeitet
Build 12.2.2.3
Release Date: 23.03.2022 Rollout Zeitraum: 5 Tage
- Security Bugfix: Aktualisierung von OpenSSL.(CVE-2022-0778)
- Bugfix: Fehler behoben, durch den es beim Benutzen des Wireguard Dialogs zu fehlerhaft geöffneten Dialogen kommen konnte
- Bugfix: Es konnte zu Problemen kommen, sobald eine E-Mail mit Anhang aus dem Benutzerinterface erneut zugesendet wurde
- Bugfix: Fehler in der E-Mail Archiv Oberfläche behoben, durch den normale Benutzer gefilterte E-Mails nicht erneut zusenden konnten
- Bugfix: Webfilterregelsätze konnten nicht mehr mit zeitlicher Begrenzung konfiguriert werden
- Bugfix: Fehler bei der Synchronisation einer Cluster Konfiguration behoben
Build 12.2.2.2
Release Date: Übersprungen
Build 12.2.2.1
- Bugfix: Beim Update auf die Version 12.2.2 konnte es zu einem Konflikt in den implizierten Regeln kommen
- Bugfix: Fehler behoben durch den der Such-Dialog nicht mehr korrekt funktionierte
- Bugfix: Portfilterregeln mit HIDENAT-Option haben nun wieder das Externe-Interface als Vorauswahl
- Maintenance: Default-Einstellung bei Neuinstallationen für Threat Intelligence Filter auf "Verbindung protokollieren und blockieren" geändert
Build 12.2.2
- Security Bugfix: Aktualisierung des Kernels. (CVE-CVE-2022-0847)
- Feature: Zugriffe auf und über die UTM sind nun über GeoIP filterbar. Machen Sie sich hier mit dem neuen Feature vertraut: UTM/GeoIP
- Feature: Es ist nun möglich Site-To-Site und Roadwarrior Verbindungen über WireGuard herzustellen
- Feature: Neuer Hinweis Dialog beim Einloggen falls DHCP Leases keinem Pool zugewiesen sind
- Feature: Der URL-Filter im Mailfilter und im Webfilter ist nun über Regex und Domains definierbar
- Feature: Ein heruntergeladenes Reseller-Preview-Update wird im Firmware-Update-Dialog entsprechend gekennzeichnet
- Feature: MAC-Adressen werden nun in der Netzwerkonfiguration als Tooltip angezeigt
- Feature: Neues Portlet im Admin-Interface für Festplatten-Temperaturen
- Feature: Das Ablaufdatum für Captive Portal Benutzer lässt sich nun in 24 Stunden Schritten verlängern
- Feature: Neue Filterregel für Authentifizierte Mailrelay Benutzer im Mailfilter konfigurierbar
- Feature: Das Interface zur Cluster Konfiguration wurde umgestaltet
- Feature: Beim Alerting Center wurde eine neue Priority-Gruppe hinzugefügt (Level 5 Dringende Warnung)
- Feature: In den Netzwerkwerkzeugen gibt es nun auch eine vollständige Routingtabelle
- Bugfix: Im SOC konnte der Dialog im Webinterface für das ersten USC-Fenster nicht aufgerufen werden
- Bugfix: Nach dem Zurücksetzen auf Werkseinstellung war die vorherige Lizenz noch aktiv
- Bugfix: Großbuchstaben bei AD-Nutzernamen konnten zu Problemen beim E-Mail-Benutzerinterface führen
- Bugfix: Dateinamen wurden unter Umständen falsch dekodiert im E-Mail-Benutzerinterface angezeigt
- Bugfix: Unter Umständen war der HTTP Proxy nach einer längeren Laufzeit nicht mehr funktionstüchtig
- Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert
- Maintenance: Aktualisierungen von OpenVPN Änderungen der Cipher für den Default-Wert
- Maintenance: Aktualisierungen der Appliance Bilder für RC340
Build 12.2.1.2
- Bugfix: Problem behoben das zu regelmäßigen WLAN Verbindungsabbrüchen führen konnte
- Bugfix: PCI Fehlermeldungen für RC400 G5 wurden behoben
- Bugfix: Durch eine Anpassung der Gateway ID Zertifikate bei IPSec lässt sich eine zuvor nicht funktionierende Verbindung wieder aufbauen
Build 12.2.1.1
- Bugfix: Fehler behoben durch welchen der ClamAV mehr Arbeitsspeicher verwendete
- Bugfix: Es war kein EFI Boot mit update- und install-spinstaller Images über USB Sticks möglich
- Maintenance: Aktualisierung von csamd auf 3.7
- Maintenance: Aktualisierung von clamav auf 0.103.4
Build 12.2.1.1 Reseller Preview
- Bugfix: Fehler behoben durch welchen der ClamAV mehr Arbeitsspeicher verwendete
- Bugfix: Es war kein EFI Boot mit update- und install-spinstaller Images über USB Sticks möglich
- Maintenance: Aktualisierung von csamd auf 3.7
- Maintenance: Aktualisierung von clamav auf 0.103.4
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.2.1 Reseller Preview
- Feature: Bei aktivierter Webfilter basierender SSL Interception lässt sich die SNI Validierung nun ein- und ausschalten
- Feature: UI SNMP Einstellungsdialog wurde benutzerfreundlicher gestaltet
- Bugfix: Beim erstmaligen Anlegen einer Servergruppe konnte beim Reverse-Proxy kein SSL Port eingestellt werden
- Bugfix: Fehler behoben welcher dafür sorgte dass eine Hide NAT Regel für ein DNS Relay unter Umständen nicht geschrieben wurde
- Bugfix: Ein bestimmter IP-Bereich wurde nicht korrekt in die SNMP Netzwerkfreigabe übernommen
- Bugfix: IPv6 Default Route wurde unter Umständen nicht geschrieben
- Bugfix: Einige Helper-Module wurden nicht automatisch gestartet, so das es zu Problemen bei VOIP kam
- Bugfix: Initiieren eines IPSEC Tunnels konnte unter Umständen das UI zum Absturz bringen
- Bugfix: Validierung des "Externer Domainname" Feldes im Reverse Proxy wurde angepasst
- Bugfix: Es konnte zu Problemen kommen, wenn WLAN Schnittstellen entfernt und wieder angelegt wurden
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.2.0 Reseller Preview
Features:
- Neue Unified Security Console Funktionalität als auch UI Einstellungsdialog implementiert
- Neues MULTI_TRAFFIC_SELECTOR Flag für IKEv2 bei IPSec Verbindungen mit mehreren Subnetzen
Maintenance:
- Aktualisierung des Kernels auf Version 5.10.x
- Diverse Aktualisierungen am Betriebssystem
- Aktualisierungen am UTM-Cluster
- Aktualisierungen der Appliance Bilder für die neue UTM G5
Aktualisierung aller Komponenten u.a.:
- openssl 1.1.1l
- strongswan 5.8.4 swanctl
- squid: 4.16
- clamav: 0.103.3
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.1.9
- Feature: Bei aktivierter Webfilter basierender SSL Interception lässt sich eine SNI Validierung nun ein- und ausschalten
- Bugfix: Schnittstellen Zuordnung bei (Neu)-installation auf RC340 wurde angepasst
- Bugfix: Einloggen bei speziellen Serviceportalen war bei aktivierter Webfilter basierender SSL-Interception nicht möglich
- Bugfix: Rescan Funktion für Mailarchive Limits angepasst
- Bugfix: Erstellung von GRE-Interfaces mit einer Zone war im UI nicht möglich
- Bugfix: Let's Encrypt/ACME Unterstützung für Wildcard-Zertifikate wurde angepasst
- Bugfix: Ein nicht vorhandener Envelope Header X-Originally-To wurde beim Mailconnector eingestellt
- Bugfix: Benutzernamen mit Leerzeichen funktionierten nicht für Basic oder NTLM Proxy Authentifikation
- Maintenance: Appliancebild und Schnittstellenreihenfolge für RC340 aktualisiert
- Maintenance: Openssl aktualisiert
- Maintenance: Squid aktualisiert
Build 12.1.8.1
- Bugfix: Schwachstelle wurde ausgebessert, durch welche es zu Problemen bei der Bearbeitung von Spam E-Mails kommen konnte
Build 12.1.8
- Bugfix: Fehler behoben durch den der Systemweite Proxy nicht genutzt wurde
- Bugfix: Der Reverse Proxy Dienst lässt sich nun auch unabhängig vom HTTP-Proxy manuell starten
- Bugfix: Verhalten des Admin- und Userinterface mit Sonderzeichen im Passwort wurde verbessert
- Bugfix: Bei Verwendung von mehreren Syslog Servern konnte es nach einem Update von V11.8.16.1 auf V12.1.7 zu Loginproblemen am Admininterface kommen
Build 12.1.7
- Bugfix: Fehler behoben bei welchem eine laufende clientlose VPN Verbindung nach 10 Minuten vom UI getrennt wurde
- Bugfix: Verhalten des UI beim Ändern des Webinterface Port wurde benutzerfreundlicher gestaltet
- Feature: Einstellen der Portfilter Zeitprofile für Touchdisplays im UI optimiert
- Maintenance: VPN Client wurde aktualisiert
- Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert
- Maintenance: SOC Support wurde angepasst
Build 12.1.7 Reseller Preview
- Bugfix: Fehler behoben bei welchem eine laufende clientlose VPN Verbindung nach 10 Minuten vom UI getrennt wurde
- Bugfix: Verhalten des UI beim Ändern des Webinterface Port wurde benutzerfreundlicher gestaltet
- Feature: Einstellen der Portfilter Zeitprofile für Touchdisplays im UI optimiert
- Maintenance: VPN Client wurde aktualisiert
- Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert
- Maintenance: SOC Support wurde angepasst
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.1.5 Reseller Preview
- Bugfix: Zeitprofil Einstellungen werden nach einem Update wieder übernommen
- Bugfix: Fehler behoben bei welchem der IPS Dienst nicht gestartet wurde
- Maintenance: Appliancebilder aktualisiert
- Maintenance: VPN Client wurde aktualisiert.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.1.3.1 Reseller Preview
- Security Bugfix: Schwachstellen in der 802.11 WLAN Implementierung behoben ("FragAttack")
- Bugfix: Rule Routing auf IP Basis konnte nicht aktiviert werden
- Bugfix: Fehler behoben durch den das Anlegen einer Mobilfunkverbindung nicht möglich war
- Bugfix: Das Anlegen von Hostname Netzwerkobjekten mit mehr als 31 Zeichen war nicht möglich
- Bugfix: Unter Umständen wurden vom Alerting Center Log falsche Fehlermeldungen für SSL VPN angezeigt
- Bugfix: UI Fehlerbehandlung bei Verwendung des Mobile Wizard ohne eingelegte SIM Karte wurde verbessert
- Bugfix: Fehler im Benutzer UI behoben, bei welchem das Benutzerpasswort nicht geändert werden konnte
- Bugfix: Aufruf der Mailrelay UI war nach dem Aktivieren der Option "Verbindung Limitieren" nicht mehr möglich
- Maintenance: VPN Client wurde aktualisiert
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.1.2 Reseller Preview
- Bugfix: Fehler im Mailscanner behoben, der zu hoher Auslastung des Systems führen konnte
- Bugfix: Fehler behoben durch den Hostname-Netzwerkobjekt-Adressen frühestens nach 120 Sekunden aufgelöst wurden
- Bugfix: Eine Konfiguration mit Leerzeichen wurde nach einem Update nicht geladen
- Feature: Transparent Proxy unterstützt nun auch Hostname-Netzwerkobjekte
- Maintenance: VPN Client wurde aktualisiert
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Build 12.1.1 Reseller Preview
Features:
- Let's Encrypt/ACME
-
- Erstellung und Verwaltung von Let's Encrypt Zertifikaten mittels des ACME Protokolls
- Captive Portal
-
- Vollständige Überarbeitung des Captive Portals
- Das Design und die Sprache der Portal Seite ist nun anpassbar
- Neue Benutzergruppe Userinteface-Administrator zum Anlegen und Verwalten von Captive Portal Benutzern
- WLAN WPA3
-
- bei UTMs mit WiFi Support wird nun das WPA3-Protokoll unterstützt
- Paketfilter
-
- Es können in der Paketfilter-Konfiguration Netzwerkobjekte über Hostnamen oder Netzwerkobjekte mit dynamischem Prefix definiert werden
- UEFI Support
-
- Der Installer der UTM V12 unterstützt nun UEFI
- Mailconnector
-
- Übersicht von E-Mails für die Multidrop-Optionen wurde verbessert
- OTP
-
- Unterstützung für base64-Verschlüsselung wurde eingebaut
- Nach gesetzter OTP-Konfiguration ist es möglich das Secret im Admin-Interface zu überprüfen
- Netzwerkschnittstellen
-
- Bezeichnung für die neue UTM G5 Serie angepasst
- Maintenance:
- Diverse Aktualisierungen am Betriebssystem
- Umstellung des Betriebssystems auf 64Bit
- Aktualisierungen der Appliance Bilder für die neue UTM G5
- Das automatische Generieren von Passwörtern für den Support User wurde verbessert
- ClamAV-Virenscan-Engine wurde aktualisiert
- VPN Client wurde aktualisiert
- Verarbeitung des Mailarchives für einzelne Anwendungsfälle beschleunigt
- Stabilität am UTM-Cluster in Verbindung mit SNMP-Anfragen erhöht
- Auswahl an verfügbaren Verschlüsselungsalgorithmen für IPSec aktualisiert
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen
Securepoint UTM v11
Securepoint UTM v11Build 11.8.17
- Bugfix: Webseiten Aufrufe mit einer abgelaufenen Lets Encrypt CA verursachten einen Fehler bei HTTP Proxy mit SSL-Interception und Zertifikatsverifizierung
- Bugfix: Schwachstelle wurde ausgebessert, durch welche es zu Problemen bei der Bearbeitung von Spam E-Mails kommen konnte
- Bugfix: Abholen von E-Mails über einen Mail-Connector konnte zu Virusscannerfehlern führen
- Bugfix: Webfilter Optionen wurde beim Mailfilter falsch angewandt
- Bugfix: Verhalten des DHCP Relay mit Konfiguration von mehreren Schnittstellen wurde verbessert
- Bugfix: Eingabe der Bandbreitenbegrenzung im UI für den Reverse Proxy wurde nicht in der richtigen Einheit übernommen
- Bugfix: Nach Aktivieren der Hostname-Protokollierungs-Option unter Syslog Einstellungen, wurde die Einstellung nicht sofort übernommen
- Bugfix: Das setzen einer CET Zeitzone unter Servereinstellungen verursacht nun keine Fehlermeldung mehr
- Bugfix: Über die CLI konnten Dienste mit ungültigen Portbereichen angelegt werden
- Bugfix: Der UTM Installer wird von fremden Partitionstabellen nicht mehr beim Installationsprozess gestoppt
- Maintenance: Auto-Licence-Update Funktion wurde angepasst
- Maintenance: VPN Client wurde aktualisiert
- Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert
Build 11.8.16.1
- Bugfix: Fehler behoben durch den nach einem Update auf UTM 11.8.16 der WLAN Reiter im UI nicht auswählbar war
- Maintenance: VPN Client wurde aktualisiert
Build 11.8.16
- Security Bugfix: Schwachstellen in der 802.11 WLAN Implementierung behoben ("Fragattack")
- Security Bugfix: Schwachstelle des SSL VPN behoben (CVE-2020-15078)
- Bugfix: Fehler behoben durch den sich das Cloudbackup nach einem Update auf UTM 11.8.15 nicht mehr einspielen ließ
- Maintenance: VPN Client wurde aktualisiert
- Maintenance: Liste der Mobile APN wurde aktualisiert
Build 11.8.15
- Bugfix: Fehler bei einer abgelaufenen Browser Session behoben, welcher zu einer erhöhten CPU-Last auf der UTM führte
- Bugfix: Fehler behoben, welcher dafür sorgte dass der SSL VPN Client Download im User Interface für AD Angebundenen Benutzer nicht angezeigt wurde
- Bugfix: Eine SSL VPN S2S Verbindung mit doppelt angelegtem Client Zertifikat war nicht möglich
- Maintenance: Verifizierung für Zertifikate und Lizenzen wurde angepasst
Build 11.8.14
- Bugfix: Fehler im Mailscanner behoben, der zu hoher Auslastung des Systems führen kann
- Maintenance: VPN Client wurde aktualisiert
- Maintenance: Das automatische Generieren von Passwörtern für den Support User verbessert
- Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert
- Maintenance: Diverse Betriebssystem Aktualisierungen
Build 11.8.13
- Bugfix: Fehler behoben durch den ein Zurücksetzen auf Werkseinstellungen nicht möglich war
- Bugfix: Fehler bei der Verwendung vom Reverse Lookup am Mailrelay wurde behoben
- Maintenance: VPN Client wurde aktualisiert
- Maintenance: Host für das Windows Update wurde in die Exclude List aufgenommen
Build 11.8.12
- Bugfix: Validierung der CLI-Konfiguration für IPsec wurde angepasst
- Bugfix: Das Herunterladen eines SSL-VPN-Clients konnte unter Umständen eine Fehlermeldung im Alerting Center produzieren
- Bugfix: Quarantäne Mails wurden unter Umständen nicht im Mailarchiv angezeigt
- Bugfix: Das Zurücksetzen auf Werkseinstellungen während eines Dryruns ist nun nicht mehr möglich
- Bugfix: Fehler behoben durch den der DHCP nicht alle Subnetze nach einem "Route Event" eingestellt hat
- Bugfix: Fehler bei der Verarbeitung von CIDR-Einträgen am Mailrelay wurde behoben
- Bugfix: IPsec Status wurde falsch ausgelesen wenn ein Sonderzeichen im Verbindungsnamen enthalten war
- Bugfix: Ein Neustart-Hinweis wurde nach der Einrichtung einer VPN S2S Server Client Gegenstelle hinzugefügt
- Bugfix: Fehler behoben durch den eine vorher statisch gesetzte IP Adresse nach einer zusätzlichen DHCP Zuweisung offline gesetzt wurde
- Bugfix: Fehlermeldung am Mailrelay User Interface für eine doppelt angelegte CIDR-Notation wurde angepasst
- Bugfix: Fehlerbehandlung im User Interface für das Löschen von Netzwerkschnittstellen angepasst
- Bugfix: Verhalten bei Verbindungs-Timeouts zum Cloudbackup Service optimiert
- Maintenance: Appliancebilder aktualisiert
- Maintenance: Updateverhalten für umfangreiche Portfilter Regeln wurde beschleunigt
Build 11.8.11
- Bugfix: Das Anlegen von Domains mit Bindestrichen im Nameserver war nicht möglich
- Bugfix: Eine ungültige E-Mail Empfängeradresse kann unter Umständen zu einen Absturz des Contentfilters führen
- Bugfix: Ein Fehler am Mailrelay in Bezug auf eine DKIM-Sign Verarbeitung wurde behoben
- Bugfix: Verwendung mehrerer DKIM-Signaturen führte zu einem falschen PASS-Ergebnis bei OpenDMARC
- Bugfix: Passphrases mit Sonderzeichen konnten zu einem Fehler bei der Clusterkonfiguration führen
- Bugfix: Nach einem PPPoE Redial wurde ein vorher gesetzter MTU Wert durch einen Standardwert überschrieben
- Bugfix: Fehlermeldung beim Aktivieren einer Startkonfiguration welche zwei Punkte im Namen hat wurde behoben
- Maintenance: Sicherheit des UTM Webinterfaces wurde verbessert
- Maintenance: Logo der Bundesprüfstelle für jugendgefährdende Medien am Webfilter aktualisieren
Build 11.8.10
- Feature: Beim Ausfall eines Primary Domain Controller werden nun eingetragene Backup Domain Controller verwendet
- Bugfix: Fehler, durch den die IPSec Phase 1 IKE Rekeying "unbegrenzt" Einstellung nicht übernommen wurde, wurde behoben
- Bugfix: Update auf eine IPSet Liste mit mehr als 65536 Einträgen wurde optimiert
- Bugfix: Formatierungsangaben für Bilder wurden bei E-Mail Newslettern fälschlicherweise vom URL-Filter erfasst
- Bugfix: Lastenverteilung mithilfe des round-robin Verfahrens wurde beim Reverse Proxy nicht richtig gesetzt
- Bugfix: Die Portfilter Loggingstufe "long" wurde für eine geringere Ressourcenbindung für USR angepasst
- Bugfix: Aktualisierung des AD Verbindungsstatus im UI nach einem AD Beitritt wurde angepasst
Build 11.8.9
- Security Bugfix: Korrigiert eine Schwachstelle im Linux Kernel (CVE-2020-14386)
- Bugfix: Bei Veränderung der Userinterface Ports war kein Zugang über diese möglich, wenn am Browser zusätzlich Proxy-Einstellungen aktiviert waren
- Bugfix: Nach dem Löschen einer VLAN Schnittstelle mit aktiviertem DHCP-Client wurde ein Systemprozess nicht entfernt
- Bugfix: Ein Berechtigungsproblem der Radius Authentifizierung beim HTTP Proxy wurde behoben
- Bugfix: Angelegte Konfiguration am Webfilter wurde nach anlegen eines Hosts nicht richtig umgesetzt
- Bugfix: Captive Portal Login bei aktivierter Authentifizierung konnte unter Umständen fehlschlagen
- Bugfix: Login über das Webinterface war bei einem leeren Eintrag für den LDAP User nicht möglich
Build 11.8.8.8
- Bugfix: Fehler beim DHCP-Client nach umstellen von "IPv4" auf "IPv4 und IPv6" behoben
- Bugfix: Verhalten des DHCP-Relay in einer VM Umgebung wurde angepasst
- Maintenance: Auswahl an verfügbaren Verschlüsselungsalgorithmen für IPSec aktualisiert
Build 11.8.8.7
- Bugfix: Spezifische E-Mails führten zu einem Timeout beim Virus-Scanner des Mailfilters
- Bugfix: Es erscheint nun eine Fehlermeldung wenn beim Mail-Connector eine falsche E-Mail Adresse eingetragen wird
- Bugfix: Darstellungsfehler am Logo bei deaktivierten Custom-Fonts wurde behoben
- Maintenance: Mindestanforderung für eine Aktivierung des Clamav Dienstes wurde auf 3GB RAM angehoben
- Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert
- Maintenance: Anpassung der Mandatory-Access-Control-Regeln für das Mailgateway
Build 11.8.8.6
- Bugfix: Es konnte ein fehlerhafter Wert für den ID Offset der Clusterkonfiguration eingestellt werden
- Bugfix: IPSec Verbindungen haben Logins nicht korrekt geloggt
- Bugfix: Nicht mehr unterstützte Verschlüsselungs-Algorithmen für IPSec IKEv2 entfernt
- Bugfix: Es konnte unter Umständen bei einer VPN Verbindung zu verlorenen Packages kommen
- Feature: Es ist jetzt möglich die STP Bridge Priorität einzustellen
- Feature: Warnhinweise wurden für den Fall das eine VPN Verbindung ein Zertifikat nutzt, für das keine zugehörige CA auf der UTM hinterlegt wurde, hinzugefügt
Build 11.8.8.5
- Bugfix: Fehler behoben durch den bei sehr langen Dateinamen von Anhängen der Mailfilter unter Umständen nicht korrekt funktioniert hat
- Bugfix: Beim Filtern von URLs konnte es zu Problemen im Mailfilter kommen
- Bugfix: Änderungen an Warnstufen für Alerts wurden nicht übernommen
Build 11.8.8.4
- Security Bugfix: Korrigiert eine Schwachstelle im DNS Dienst (CVE-2020-8616)
- Bugfix: Fehler im Anmeldedienst behoben, der dazu führte, das unter bestimmten Umständen keine Anmeldung als SSL VPN Roadwarrior mit OTP mehr möglich war
- Maintenance: Korrektur von Datei und Verzeichnis Berechtigungen. 1
- Maintenance: Anpassung der Mandatory-Access-Control-Regeln für das Mailgateway und dem Clientless VPN Dienst
- Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert
- Maintenance: Update des SSL VPN Clients
1) Securepoint GmbH lässt präventiv in regelmässigen Abständen Security Audits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de)
Build 11.8.8.3
- Bugfix: Benutzer mit Leerzeichen im Namen konnten QR Codes nicht mit einem iOS Gerät scannen
- Bugfix: Fehler behoben durch den es bei SSLVPN zu Problemen kommen konnte, wenn der Benutzer Umlaute im Namen hatte
- Bugfix: Timeouts bei einer CVPN Verbindung konnten zu Anmeldeproblemen am User-Portal führen
Build 11.8.8.2 Reseller Preview
- Bugfix: Fehler behoben durch den es vorkommen konnte das E-Mails nicht mit zwei oder mehr Merkmalen markiert wurden
- Bugfix: Fehler behoben der eine Clientless VPN Verbindung per RDP unter Umständen verhinderte
- Bugfix: Durch Reduzieren der maximalen Anzahl an Mailrelay Prozessen im Admininterface, konnte es zu Fehlern kommen
- Bugfix: E-Mails mit sehr vielen Empfängern wurden unter Umständen nicht korrekt zugestellt
Build 11.8.8.1 Reseller Preview
- Bugfix: Fehler behoben durch den bei einer großen Anzahl von konfigurierten Interfaces die Leistung der Appliance beeinträchtigt wurde
- Bugfix: Fehler behoben durch den zu viele Alert-Nachrichten den Festplattenspeicher belegten
- Bugfix: AD Fehler, der unter Umständen durch Benutzung gleicher Werte für Appliance Account und Firewallnamen auftreten kann, behoben
- Bugfix: Fehler bei der Verwendung von DKIM Signierung behoben
- Bugfix: Fehler behoben durch den OTP Kennwörter von Hardware-OTP-Token nicht mehr für Benutzeranmeldungen genutzt werden konnten
- Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert
Build 11.8.8 Reseller Preview
- Bugfix: Fehler beim Abholen von fehlerhaften Mails per Mailconnector behoben
- Bugfix: Fehler behoben, durch den Benutzer gefilterte Anhänge ohne Berechtigung herunterladen konnten
- Bugfix: Fehler behoben, durch den nach einem Neustart sich die UTM nicht wieder korrekt mit einem Windows-AD verbunden hat
- Bugfix: Fehler, durch den es vorkommen konnte, dass Benutzerpasswörter im Log auftauchen, behoben
- Bugfix: Fehler behoben, durch den man sich durch Einstellung ungültiger Ports aus dem Admin- und Benutzerinterface aussperren konnte
- Bugfix: Bei Verwendung von Cluster-Konfigurationen und gre- oder bridge-Interfaces konnte es zu Problemen beim Speichern kommen
- Bugfix: Fehler, durch den die UTM beim Zurücksetzen der globalen Verschlüsselung unerreichbar wurde, behoben
- Bugfix: Fehler behoben, durch den übermäßig viele Hinweisnachrichten das Admininterface blockieren konnten
- Bugfix: Windows-AD Authentifizierung konnte nicht korrekt mit LDAP-Verschlüsselung arbeiten
- Bugfix: Fehler behoben, durch den Root-CA-Zertifikate bei der Windows-AD Authentifizierung nicht korrekt verwendet wurden
- Bugfix: Fehler behoben, durch den sehr alte UTM-Konfigurationen nicht fehlerlos auf einer aktuellen UTM importiert werden konnten
- Feature: Bei Diensten sind nun auch einzelne Quell-Ports einstellbar, statt nur Quell-Bereiche
- Feature: Passwörter für Support-User werden nun nicht mehr mit verwechslungsgefährdeten Zeichen generiert
- Feature: Es gibt nun die Option E-Mails, die von der UTM ausgehen, mit DKIM zu signieren. Sie finden die Option im Mailrelay unter dem Reiter "Signierung"
- Feature: Die Alerting-Center Reports wurden neu designed
- Feature: Windows-AD-Benutzern wird, falls dieser aktiviert ist, der Spam-Report automatisch an die Haupt-E-Mail Adresse die im Windows-AD für den Benutzer hinterlegt ist geschickt
- Feature: Die Passwortverschlüsselung bei Verwendung von Cloud-Backups ist nun verpflichtend
Build 11.8.7.2
- Bugfix: Fehler behoben durch den die Mailfilter-Datenbank unter Umständen nicht korrekt konvertiert wurde
Build 11.8.7.1
- Bugfix: Fehler im ECAP Adapter des HTTP Proxy behoben, der zum Absturz des Proxies führen konnte
- Bugfix: Fehler im Thread Intelligence Filter bei der Protokollierung von Paketen behoben
- Bugfix: Fehler im Webinterface beim Speichern von Netzwerk-Interface Einstellungen behoben, der unter Umständen dazu führte dass die Fallback Informationen des Netzwerk-Interfaces verloren gingen
- Maintenance: Anpassung der Mandatory-Access-Control-Regeln für das Mailgateway
Build 11.8.7
- Bugfix: Fehler in der IPv6 Präfix Delegation mit VDSL behoben.
- Bugfix: Fehlermeldung beim AD Join wurden nicht korrekt an das Webinterface weitergeleitet
- Bugfix: Fehlerhafte Generierung von QR Codes für OTP behoben
- Bugfix: Der Cluster Interface Status unter Virtualbox wurde nicht korrekt erkannt
- Bugfix: Fehler im HTTP Proxy bei eingeschalteter Anonymisierung und Statistik behoben
- Bugfix: Fehler in der ACL Konfiguration des Reverse Proxy behoben
- Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert
- Maintenance: Überarbeitung der Netzwerk Interface Darstellung bezgl. der Geschwindigkeit und MTU
- Maintenance: IPSec IKEv1 und IKEv2 AES-GCM (Galois Counter Mode) ist nun in Phase 2 konfigurierbar
- Maintenance: Spamfilter Ctasd Reference ID ist nun im Userinterface sichtbar.
- Maintenance: @-Symbol kann nun nicht mehr für Namen von lokalen Benutzern verwendet werden
- Feature: SPF/DKIM/DMARC Regeln sind nun im Mailfilter konfigurierbar
- Feature: Erweiterung des IDS/IPS um Thread Intelligence Filter aus der Securepoint Cyber Defence Cloud.
Build 11.8.6
- Bugfix: Darstellung bei langen E-Mail Adressen im Spamreport korrigiert
- Bugfix: Geschwindigkeit eines Netzwerk-Interfaces wurde unter Umständen nicht korrekt angezeigt.
- Bugfix: Fehler in der Abarbeitung von Webfilter-Regeln korrigiert
- Maintenance: Anpassung der Mandatory-Access-Control-Regeln für alle CGI Programme.
- Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert
- Maintenance: Darstellungsperformance bei großer Anzahl konfigurierter Paketfilter-Regeln im Webinterface verbessert
- Feature: FailToBan erweitert um die Authentifizierung über das Mailgateway
- Feature: Mailfilter unterstützt nun die Decodierung von TNEF Anhängen in E-Mails
- Feature: Quarantäne und Filter Modus im Mailfilter sind nun für die Benutzergruppen getrennt einstellbar
- Feature: E-Mails in der Quarantäne können nun alternativ auch als Anhang in einer neuen E-Mail versendet werden
Build 11.8.5
- Bugfix: Fehler in der NTLM/Kerberos Authentifizierung bei Benutzern mit Leerzeichen im Benutzernamen behoben
- Bugfix: Die Sommer-/Winterzeit wird nun beim Erstellen eines neuen Zertifikates berücksichtigt
- Bugfix: Fehler im ECAP Adapter des HTTP Proxy zum Blockieren von bestimmten MIME Typen behoben
- Bugfix: Im Alerting Center wurden fälschlicherweise durch OTP Authentifizierung Alarme generiert
- Maintenance: Fehlerbehandlung beim Einspielen einer Konfiguration verbessert
- Maintenance: Im Mailrelay wurden die Zeiten für Delay Warnungen angepasst
- Maintenance: Die PCI Express Advanced Error Reporting Meldungen wurden im Log angepasst
- Maintenance: Die DBUS Einstellungen wurden gehärtet
- Maintenance: Aus Performance Gründen wird nun bei Systemen mit nur einem Core der Clamav-Virenscanner deaktiviert
- Maintenance: Das Alertingcenter informiert nun über den Wechsel in einer Cluster-Konfiguration
- Feature: Über SNMP können nun zusätzlich die angemeldeten Benutzer, Alerts aus dem Alertingcenter und die Anzahl der IPs in der Blacklist des FailToBan Dienstes abgefragt werden
- Feature: Die Greylisting Funktion des Mailrelays unterstützt nun auch Subnetmatch
- Feature: Der Administrator kann nun für das Spamfilter-Interface der Benutzer das Herunterladen von gefilterten Anhängen oder von Anhängen in quarantänisierten E-Mails getrennt einstellen
- Feature: Bei lokalen Usern kann jetzt ein Kontoverfallsdatum eingestellt werden
- Feature: Der Administrator hat nun eine einfache Möglichkeit einen Support User zu erstellen, dessen maximale Laufzeit auf 30 Tage beschränkt ist
Build 11.8.4
- Bugfix: Clientless VPN Problem mit Vollbildmodus behoben
- Bugfix: Beim Anlegen einer neuen Clientless VPN Verbindung wurde der Dienst nicht automatisch neu gestartet
- Bugfix: Möglichen Fehler beim Erstellen und Löschen von lokalen Routen behoben
- Bugfix: Behebt ein kompatibilitäts Problem bei Verwendung von SSL VPN mit OTP
- Bugfix: Korrigiert einen Fehler bei Verwendung des Contentfilters mit dem Mailrelay der UTM
- Bugfix: Geroutete Netze konnten über den transparenten HTTP Proxy keine Verbindung aufbauen
- Maintenance: Mailconnector unterstützt nun TLSv1.2
- Feature: RCPT Prüfung im Mailrelay können nun auch mit gemappten Domains durchgeführt werden
- Feature: Benachrichtigungen und Reports können jetzt im Alerting Center global aktiviert oder deaktivert werden
Build 11.8.3.4
- Bugfix: Behebt einen Fehler in der Namens-Auflösung bei Neuinstallationen
- Bugfix: Korrigiert ein Problem mit der Berechtigung bei Erstellung von Spam-Reports bei Neuinstallationen
Build 11.8.3.3
- Security Bugfix: Korrigiert Schwachstellen im Linux Kernel, die zu einem Kernel-Panic führen können (CVE-2019-11477, CVE-2019-11478)
- Bugfix: Fehler behoben bei dem Benutzern ohne Attribute kein SSL-VPN Download zur Verfügung gestellt wurde
Build 11.8.3.2
- Bugfix: Behebt einen Fehler im Anmelde-Dienst für Active Directory und LDAP, der bei rekursiven Einstellungen auftrat
- Bugfix: Behebt einen Fehler beim Update auf das neue Mailrelay in den Greeting Pause Einstellungen
- Bugfix: Rule Routing wurde nicht ausgeführt, wenn gleichzeitig automatisches QoS aktiviert ist
Build 11.8.3.1
- Bugfix: Behebt einen Fehler beim Einspielen einer neuen Lizenz, wenn die Lizenz abgelaufen ist
- Bugfix: Behebt einen Fehler beim Speichern von Benutzergruppen, wenn die UTM an ein AD angebunden ist
- Bugfix: Korrigiert ein Problem im Alerting-Center, das nicht versucht wird eine E-Mail zu verschicken, wenn das lokale Mailrelay ausgeschaltet ist
Build 11.8.3
- Security Bugfix: Ein möglicher Denial-of-Service Angriff auf den Authentifizierungs-Dienst wurde behoben. 1
- Security Bugfix: Zugriff auf sensible Daten über den Proxy Server der UTM wurde behoben. 1
- Security Bugfix: Unzureichende Session Prüfung bei Clientless VPN mit RDP wurde behoben. 1
- Bugfix: Behebt einen Fehler im NAT Helper für PPTP und FTP Verbindungen
- Bugfix: Konfigurationsänderungen im Mailfilter wurden nur bei Neustart der UTM geschrieben
- Maintenance: Active Directory Zugriff auf verknüpfte Gruppen optimiert
- Maintenance: Anpassung der Mandatory-Access-Control-Regeln für das Mailgateway
- Maintenance: Online Hilfe aktualisiert
- Maintenance: Standardwerte für RSA Keys angepasst
- Maintenance: Das Mailrelay ist nun auch über den Port 587 erreichbar
1) Securepoint GmbH lässt präventiv in regelmässigen Abständen Security Audits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de)
Build 11.8.2.1 Reseller Preview
- Bugfix: Der Mailconnector konnte nicht automatisiert über das lokale Mailgateway der UTM relayen
- Bugfix: Subdomains wurden von dem Mailgateway der UTM ungewollt inkludiert
- Bugfix: Der SMTP-Proxy des Mailgateways konnte überlange Zeilen in einer E-Mail nicht korrekt verarbeiten
- Bugfix: Behebt einen Fehler im Mailgateway, wodurch möglicherweise Teile von E-Mails abgeschnitten werden.
- Maintenance: Anpassung der Mandatory-Access-Control-Regeln für das Mailgateway
Build 11.8.2 Reseller Preview
- Bugfix: Korrigiert einen Fehler in der Darstellung des Datums im Neighbors Widget der Admin UI
- Bugfix: Behebt einen Fehler im FTP Connection-Tracking-Helper
- Bugfix: Fehler in Capitive Portal behoben, wodurch ein Anmelden nicht möglich war
- Bugfix: Fehler behoben wodurch sich Active Directory User nicht über das userPrincipalName Attribute an der UTM anmelden konnten
- Feature: Mailrelay durch Postfix Implementation ersetzt
- Feature: DANE (DNS-based Authentication of Named Entities) implementiert
- Feature: DNSSEC (Domain Name System Security Extensions) implementiert
- Feature: IPV6 BGP Routing Daemon implementiert
- Maintenance: Unterstützung für ChaCha20 Verschlüsselungs-Algorithmus
Build 11.8.1 Reseller Preview
- Security Bugfix: Korrigiert eine Schwachstelle im Linux Kernel (CVE-2019-8912)
- Bugfix: Behebt ein Problem mit der Ansteuerung des LTE Modems wenn eine ungültige SIM Karte eingelegt wurde
- Bugfix: Korrigiert einen Fehler im Active Directory Dienst, wodurch möglicherweise nicht alle Gruppe des AD angezeigt wurden
- Bugfix: Es wurden Fehler mit dem Connection-Tracking-Helpern für Netbios und PPTP behoben
- Bugfix: WLAN QR-Codes wurden nicht immer korrekt generiert
- Bugfix: GRE Netzwerk-Interfaces wurden nicht gestartet
- Bugfix: Wenn in der Admin UI, in den Mailconnector Einstellungen, kein Limit für die maximale Größe einer E-Mail gesetzt wurde, kam es zu einem Fehler im Webinterface
- Bugfix: In den DNS Einstellungen einer Zone wurde die Serial-Nummer bei Änderungen nicht korrekt hochgesetzt.
- Feature: Die Sprache für die Berichte (Alerting-Center, Spamreport) ist nun einstellbar
Build 11.8.0 Reseller Preview
Features:
- Alerting-Center:
- Identity based Firewall (IBF):
- Erstellung dynamischer Firewall-Regeln für per SSLVPN verbundene Nutzer (Wiki).
- SSLVPN:
- Bei aktivierter OTP Authentifizierung erscheint nun im Windows SSL VPN Client ein separates Fenster zur Eingabe es OTP Keys
- Zusätzliche, erweiterte Einstellungen
- Sicherheit:
- FailToBan: Fehlgeschlagene Authentifizierungsversuche auf die Webschnittstellen und den SSH Dienst können für gewisse Zeit blockiert werden (Wiki)
- Dezidierte Steuerung der Zugriffsrechte einzelner Prozesse per Mandatory Access Control (MAC). Durch diesen Präventivschutz werden Anwendungen vor noch unbekannten Sicherheitslöchern geschützt
- Schutz vor den Prozessor-Schwachstellen Spectre und Meltdown
- DSGVO:
- Anonymisierung der Logfiles für alle Applikationen der UTM einstellbar (Wiki)
- Mailfilter:
- Zeitgesteuerte Quarantäne für E-Mails. E-Mails werden für eine definierbare Zeit zurückgehalten und anschließend neu gescannt und qualifiziert. Dies erlaubt es den Virenscannern in der Zwischenzeit ihre Signaturen zu aktualisieren (Wiki)
- Spam-Reports können bis zu vier Mal am Tag verschickt werden
- Zusammenfassender Spam-Report für den Administrator mit der Übersicht aller Benutzer
- Erweiterte Suchfilter im Mailfilter UI
- AdminInterface:
- Installations-Wizard überarbeitet
- Neuer Wizard für die Anbindung an ein Active Directory/LDAP
- Netzwerkobjekte die keiner Zone zugeordnet sind, werden in der UI entsprechend markiert
- Widgets im AdminInterface können manuell aktualisiert werden
- Sämtliche Umschalter im Webinterface sind auch über die Tastatur bedienbar
- Neue Schnell-Suchfunktion im WebInterface
- Tab-Completion im CLI-Terminal
- Dialog zum Bearbeiten der Templates wurde stark erweitert
- Verbessertes Fenstermanagement
- Verwendung von Vektorgrafiken
- Bessere Unterscheidbarkeit zwischen Admin- und Nutzer-Anmeldedialog
- Widerrufene Zertifikate werden gekennzeichnet bzw. verborgen
- Alternative Ansicht in den Portlets (Widgets)
- Überarbeiteter Firmware Updates Dialog
- Neue Active Directory Attribute:
- IPv6 Adressen für SSL VPN können über ein Active Directory fest vergeben werden
- Mehrere E-Mail-Attribute werden unterstützt
- Webproxy:
- Erweiterung der SSL Interception Funktionalität des HTTP Proxys. Das Aufbrechen verschlüsselter Verbindungen kann auf vom Webfilter als problematisch klassifizierte Webseiten beschränkt werden (Wiki)
- Unterstützung für SMB2/SMB3 und Kerberos
- Reverse Proxy unterstützt nun Perfect Forward Secrecy
- Unterstützung für mehrere Webfilterregeln pro Profil
- IPv6 Prefix Delegation für PPPoE bzw. VDSL Verbindungen (Wiki)
- Neue statische Passwort-Richtlinie für lokale Benutzer
- Unterstützung von Full-Cone-NAT für UDP Verbindungen (VoIP)
- Für Wake on LAN können zu den Mac Adressen nun zusätzlich auch Hostnamen angeben werden
- Connection Tracking (CT) pro Dienst manuell definierbar
- Unterstützung des Imports von PKCS12 Zertifikats-Containern
- Clientless VPN:
- Unterstützung von NLA Security, Windows 10 Kompatibilität
- Security Einstellungen separat für alle Ziele definierbar
Maintenance:
- Unterstützung für LTE Karten verbessert
- Aktualisierung des Kernels auf Version 4.14.x, beinhaltet u.a. den Schutz vor den Prozessor-Schwachstellen Spectre und Meltdown
- Aktualisierung aller Komponenten u.a.:
- libressl: 2.7.3
- strongswan: 5.6.2
- squid: 3.5.27
- samba: 4.8.3
- clamav: 0.101.1
Hinweise:
- Die UTM Version 11.8 unterstützt nicht mehr das unsichere VPN Protokoll PPTP
Build 11.7.15
- Bugfix: Fehler durch den Mailfilter Regeln nicht geschrieben wurden behoben
- Bugfix: Fehler durch den Radius Konfigurationen nicht geschrieben wurden behoben
- Bugfix: Fehler durch den OpenVPN Probleme verursacht wenn Hostnamen nicht aufgelöst werden können behoben
- Bugfix: Aktualisierung von Virenpattern des Cyren-Virenscanners funktioniert nun wieder korrekt
Build 11.7.14
- Bugfix: Behebt einen Fehler in der User-Tmp Datei (utmp), wodurch alte Login Einträge unter Umständen nicht gelöscht wurden
- Bugfix: Korrigiert einen Fehler im Webinterface der entsteht, wenn eine konfigurierte LTE Karte aus dem System entfernt wird
- Bugfix: Die IPSec Konfigurationen konnten unter bestimmten Bedingungen nicht an ein VLAN Interface gebunden werden
- Bugfix: Eingabe von ungültiger E-Mail Adresse wurden im HTTP Proxy nicht korrekt abgefangen
Build 11.7.13
- Security Bugfix: Korrigiert eine Schwachstelle im SSH Dienst (CVE-2018-15473)
- Security Bugfix: Korrigiert mehrere Schwachstellen im Clamav Virenscanner (CVE-2018-15378, CVE-2018-14680, CVE-2018-14681, CVE-2018-14682)
- Bugfix: Korrigiert einen Fehler beim Speichern der Änderung in den Einstellungen für die Namensauflösung
- Maintenance: Aktualisierung der öffentlichen Root Zertifikate auf der UTM
Build 11.7.12
- Security Bugfixes: Korrigiert eine Sicherheitslücke im Linux-Kernel (CVE-2018-5390)
Build 11.7.11
- Bugfix: Behebt einen Fehler im Authentifizierungsdienst der UTM auf Multicore Maschinen unter erhöhter Last
- Maintenance: Die Gewichtung bei fehlgeschlagenen Updates wurde von Fehler auf Warnung im Syslog geändert
Build 11.7.10
- Security Bugfixes: Korrigiert Sicherheitslücken im Clamav Virenscanner (CVE-2018-0360, CVE-2018-0361)
- Bugfix: Behebt ein Memoryleak in der Verarbeitung von X.509 Zertifikaten
- Bugfix: Korrigiert einen Fehler beim Anlegen einer inkorrekten Netzwerk Route, der zu einer ansteigenden Last des Systems führen kann
- Maintenance: Der Konfigurationspunkt Clusterkonfiguration zurücksetzen berücksichtigt nun auch die Konfiguration der Anwendungen
Build 11.7.9
- Bugfix: Behebt ein Memoryleak im Zertifikatsspeicher der UTM
- Bugfix: Korrigiert einen Fehler in den Hyper-V Netzwerkkarten-Treibern, der dazu führte, das möglicherweise nicht alle Netzwerkkarten initialisiert wurden
- Bugfix: Behebt einen Fehler in den Netzwerkeinstellungen des Webinterface wodurch die MTU von wanX (PPPoE/PPTP) Interfaces falsch angezeigt wurde, wenn gleichzeitig auch ein wwanX Interface (LTE) existiert
- Bugfix: Korrigiert einen Fehler im Mailrelay, wodurch unter Umständen Prozesse nicht korrekt geschlossen wurden
Build 11.7.8
- Security Bugfixes: Korrigiert Sicherheitslücken im Clamav Virenscanner (CVE-2012-6706, CVE-2017-6419, CVE-2017-11423, CVE-2018-1000085, CVE-2018-0202)
- Bugfix: Beim Drucken der QR Codes für die OTP Keys der Benutzer wurden die Benutzernamen nicht mit angezeigt
- Bugfix: Behebt ein Memoryleak im fwserver Dienst der UTM
- Bugfix: Im SOC konnte der Dialog im Webinterface für Externe Authentifizierung nicht aufgerufen werden
- Maintenance: Aufgrund eines Fehlers im OpenVPN Client für IOS wurde die Reihenfolge für DNS Server und Domain-Namen die von der UTM an das Mobile-Device gesendet wird angepasst.
- Maintenance: In Webinterface kann man nun in den Dialogen für IPSec und SSL VPN den Dienst direkt neu starten
- Maintenance: Die Performance des dhcp-Relay Dienstes für IPv4 wurde optimiert
Build 11.7.7
- Security Bugfixes: Korrigiert Sicherheitslücke im Linux-Kernel (CVE-2017-16939)
- Security Bugfixes: Korrigiert Sicherheitslücke im Zusammenhang mit der SSL Library (CVE-2017-3737)
- Security Bugfixes: Korrigiert Sicherheitslücken im Clamav Virenscanner (CVE-2017-12374, CVE-2017-12375, CVE-2017-12376, CVE-2017-12377, CVE-2017-12378, CVE-2017-12379, CVE-2017-12380)
- Bugfix: Darstellung des CLI Befehls zum Hinzufügen von VLans im Audit-Log korrigiert
- Maintenance: Verhalten des Cyren-Virenscanners im Fehlerfall verbessert
- Maintenance: Verhalten des SSL VPN Dienstes bei hinzufügen von Konfigurationen verbessert
- Maintenance: Algorithmus zur Auswahl von PSKs für IKEv1 IPSec-Tunnel optimiert.
- Maintenance: Intel Netzwerkkarten-Treiber aktualisiert
Build 11.7.6.1
- Bugfix: Behebt einen Fehler beim Start der Gasterweiterungen auf der UTM in Hyper-V Umgebungen
- Bugfix: Korrigiert einen Fehler im Template des LACD Dienstes für die Kommunikation zum SOC
Build 11.7.6
- Security Bugfixes: Korrigiert Sicherheitslücken im Zusammenhang mit dem Linux-Kernel (CVE-2017-12193,CVE-2017-15265, CVE-2017-0786, CVE-2017-12153, CVE-2017-1000252, CVE-2017-12154)
- Security Bugfixes: Korrigiert Sicherheitslücken im Zusammenhang mit der SSL Library (CVE-2017-3736,CVE-2017-3735)
- Bugfix: Behebt einen Fehler beim Betrieb auf Microsoft Hyper-V Systemen, durch den die Linux Integration Services (LIS) auf der UTM nicht gestartet werden konnten, wenn die Gasterweiterungen auf dem Hypervisor nicht aktiviert wurden.
- Bugfix: IPSec - Beliebige Remote Adresse erlauben lies sich nicht deaktivieren
- Bugfix: Im Active Directory Dienst fehlten Code-Pages zum korrekten decodieren bestimmter Sonderzeichen
- Bugfix: Ein Darstellungsfehler im Paketfilter wurde behoben, wenn das Fenster des Paketfilters maximiert und wieder verkleinert wurde
- Bugfix: Zonen wurden in bestimmten Konstellationen fälschlicherweise auf VLAN Interfaces gelöscht, wenn sie bearbeitet wurden
- Bugfix: Der L2TP Dienst wurde nicht neu gestartet, wenn der Dienst an ein Dialup Interface gebunden wurde und sich das Interface neu verbindet
- Maintenance: Das Webinterface verhindert nun doppelte Zonen-Einträge in den Nameserver Einstellungen
- Maintenance: Im Mailfilter kann man in den Header Einstellungen nun auch auf den Display-Namen/E-Mail-Adresse filtern
Build 11.7.5
- Security Bugfixes: Korrigiert Sicherheitslücken im Zusammenhang mit dem Linux-Kernel (CVE-2017-1000251,CVE-2017-11472, CVE-2017-14106)
- Security Bugfixes: Korrigiert Sicherheitslücken im Zusammenhang mit dem SSH Dienst (CVE-2016-3115,CVE-2016-1907, CVE-2016-6210, CVE-2016-6515)
- Security Bugfixes: Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst (CVE-2016-10002)
- Bugfix: Mögliches Routing Problem über Ethernet-Interfaces bei IPv6 behoben
- Bugfix: Problem mit SFTP Verbindungen zur UTM behoben
- Bugfix: Behebt ein Memory-Leak im Netzwerkdienst im Zusammenhang von IPv6 Tunnel-Provider Verbindungen
- Bugfix: Behebt ein Memory-Leak im Captive-Portal
- Bugfix: Korrigiert einen Fehler im Timeout des Dynamic DNS Dienstes, der dazu führt, dass unter Umständen der Hostname nicht aktualisiert wurde
- Bugfix: Behebt einen Fehler durch den der SSL VPN Dienst innerhalb einer Erstkonfiguration nicht gestartet wurde
- Bugfix: Importierte Zertifikate mit ECC-Algorithmus verursachen Probleme bei der Verwendung des IPSec Dienstes und Erstellung von CRLs
- Bugfix: IPSec Verbindungen mit deaktivierten PFS funktionieren unter Umständen nicht Erwartungsgemäß
- Bugfix: Der Timeout für Clientless VPN Verbindungen über VNC ist an den UI Timeout angepasst worden
- Bugfix: Behebt ein Kompatibilitätsprobleme mit der Log-Datenbank des HTTP-Proxy. Die Datenbank wird in diesem Fall automatisch zurückgesetzt
- Bugfix: Korrigiert einen Fehler in Mailfilter-Regeln, die negiert auf den Host einer Verbindung prüfen
- Bugfix: Umlaute in Konfigurations-Namen konnten in der Version 11.7.x nicht mehr neu erstellt werden
- Bugfix: Beim ersten Start der UTM wurden unter Umständen Zertifikate mit gleicher SerienNummer erstellt, die zu Browser Problemen führten
- Bugfix: In der Log-Auswertung des Webinterfaces wurden fälschlicherweise die Filtergruppen des HTTP-Proxies nicht lesbar dargestellt
- Maintenance: Im Konfigurations-Wizard kann nun der Country-Code bei WLan Verbindungen direkt ausgewählt werden
- Maintenance: IPSec hat für Dynamic-DNS Verbindungen einen neuen Konfigurationspunkt in Phase 1 „Beliebige Remote-Adresse-Erlauben“
- Maintenance: Der IPSec Assistent und der Editier-Modus in Phase 1 wurden für Verbindung mit Zertifikaten verbessert
- Maintenance: In der Benutzerverwaltung werden mögliche Gruppenübergreifende Konflikte visualisiert
Build 11.7.4
- Security Bugfix: Korrigiert Sicherheitslücken im Zusammenhang mit dem Linux-Kernel (CVE-2017-7533, CVE-2017-8890, CVE-2017-1000364, CVE-2017-1000365, CVE-2017-1000370, CVE-2017-1000371)
- Feature: SSL VPN Server unterstützt nun auch Zertifikatsketten
- Maintenance: Erweiterung der Firmware für Broadcom BCM5709 Chipsätze
- Maintenance: Treiber-Aktualisierung für Intel Netzwerkkarten Karten
- Bugfix: Behebt einen Fehler, der dazu führt, das LTE Modems nicht deaktiviert werden konnten
- Bugfix: Behebt einen Fehler im Multipathrouting, wenn das Remote Gateway bei mehreren Schnittstellen auf die gleiche IP Adresse zeigt
- Bugfix: Mailconnector konnte auch ohne Konfiguration gestartet werden
- Bugfix: Im Webinterface wurde das Log im RAW-Format nicht korrekt exportiert
- Bugfix: Behebt einen Fehler im Clientless VPN VNC Modus, wenn das VNC Passwort nicht in der Konfiguration hinterlegt wurde
- Bugfix: Behebt einen Fehler im Treiber der 10GBit Erweiterungskarten, der dazu führte, das die Link Detection falsche Werte lieferte, wenn kein Kabel angeschlossen ist
- Bugfix: Korrigiert einen Fehler in der URL Erkennung im Mailfilter. Filterregeln auf URLs in E-Mails funktionierten dadurch unter Umständen nicht
Build 11.7.3.1
- Bugfix: Korrigiert einen Fehler im Multipath-Routing mit Ethernet-Interfaces (Known Issue Version 11.7.3)
- Bugfix: Behebt einen Fehler im SNMP-Dienst, wodurch möglicherweise nicht die korrekte Anzahl der E-Mails in der Mail-Queue angezeigt wurden
- Bugfix: Behebt einen Fehler, der dazu führte das die serielle Konsole nicht gestartet wurde
- Bugfix: In der Userverwaltung des Webinterfaces konnten keinen neuen OTP Keys generiert werden
Build 11.7.3
- Security Bugfix: Schließt eine DDOS Verwundbarkeit im IPSec Dienst (CVE-2017-9022,CVE-2017-9023)
- Feature: Im Userinterface/Spamfilter wird angezeigt, welches Attachment bereits heruntergeladen wurde
- Feature: Im Userinterface/Spamfilter wird angezeigt, welche E-Mail aus der Quarantäne bereits gesendet wurde.
- Feature: Diverse SNMP Erweiterungen Securepoint UTM spezifischer Funktionen (MIBs im RSP)
- Feature: HTTP Proxy unterstützt nun SMP Skalierung
- Maintenance: Im IPSec Log wird jetzt immer der genau Verbindungsname angezeigt
- Maintenance: Darstellung des Captive Portals angepasst.
- Bugfix: Fehler beim Entladen von Kernel-Modulen behoben
- Bugfix: Behebt ein Problem beim Update, das durch leere Templates verursacht wird
- Bugfix: Behebt einen Fehler bei dem der DHCP Dienst möglicherweise nicht auf allen Netzwerk-Interfaces lauscht
- Bugfix: Behebt einen Fehler im Multipathrouting, wenn das Remote Gateway bei mehreren Schnittstellen auf die gleiche IP Adresse zeigt
- Bugfix: Bei Fallback Konfigurationen wurde der ping-Check nicht ausgeführt
- Bugfix: Spam-Reports an Nutzer mit Leerzeichen im Benutzernamen wurden nicht versendet
- Bugfix: Fehler bei der Bindung von SSL VPN und L2TP Verbindungen an spezifische IP Adressen behoben
- Bugfix: Die Anordnung der Widgets im Dashboard wurde unter Umständen nicht permanent gespeichert
Known Issue:
- In Multipath-Szenarien über Ethernet-Schnittstellen, ist es erforderlich dass das Standard-Gateway in den Netzwerkeinstellungen der Ethernet-Karte als Route-Hint zusätzlich hinterlegt wird
- Bei Änderungen in den Servereinstellungen kann es dazu kommen, dass unter den SNMP Einstellungen ein Eintrag für "SNMP Pakete aus folgenden Netzwerken zulassen" benötigt wird. Wenn SNMP nicht in Verwendung war, muss nach einem Update auf die 11.7.3 SNMP v2c deaktiviert werden
Build 11.7.2.2
- Security Bugfix: Behebt vier Fehler im SSL VPN Dienst (CVE-2017-7520, CVE-2017-7521, CVE-2017-7522, CVE-2017-7508)
- Maintenance: Verbesserung der Performance bei Konfigurationen mit vielen X.509 Zertifikaten (>500)
- Bugfix: Benutzer mit Sonderzeichen im Usernamen konnten sich nicht am Webinterface anmelden
- Bugfix: Behebt einen Fehler im Netzwerkdienst
Build 11.7.2.1
- Security Bugfix: Behebt zwei Fehler im SSL VPN Dienst (CVE-2017-7478, CVE-2017-7479)
- Maintenance: Verbesserung des Aufbaus von IPSec Verbindungen mit dynamischen Endpunkten beim Neustart der UTM
- Bugfix: Behebt einen Fehler beim Erstellen von IPSec Verbindungen, wenn das Gateway sich nicht im gleichen Subnetz des lokalen Interfaces befindet
- Bugfix: Behebt einen Fehler bei der Authentifizierung von LTE Verbindungen
- Bugfix: Behebt einen Fehler im Portforwarding, der beim Wechsel der IP Adresse nach einer Zwangstrennung von Point-to-Point Verbindungen entstehen kann
- Bugfix: Behebt einen Fehler im Session-Handling von Clientless-VPN Verbindungen, so das möglicherweise die Verbindung vorzeitig beendet wird
Build 11.7.2
- Feature: In den Verschlüsselungseinstellungen für das Mailrelay kann nun die verschlüsselte Kommunikation erzwungen werden
- Maintenance: Entfernung von obsoleten Funktionen aus der IPSec Konfiguration im Webinterface
- Maintenance: Erweiterung der Security-Headers für den Webserver der UTM
- Maintenance: SSLv3 wird nicht mehr unterstützt (vorher schon standardmässig deaktiviert) und wurde aus den Verschlüsselungseinstellungen entfernt
- Maintenance: Der CLI Befehl mail archive get zeigt zusätzlich die Message-ID von E-Mails an
- Maintenance: Anzahl der File-Deskriptoren für den RPRoxy einstellbar
- Bugfix: Fehler behoben, das sich Anwender aus dem Active-Directory mit Sonderzeichen im Usernamen, nach einem Update auf 11.7 nicht mehr einloggen können
- Bugfix: Fehler im SNMP Dienst nach Update auf 11.7 behoben, der dazu führte das Netzwerk-Interfaces nicht mehr angezeigt wurden
- Bugfix: Fehler im L2TP Dienst nach Update auf 11.7 behoben, der dazu führte das sich iPhone Devices nicht mehr einloggen konnten
- Bugfix: Fehler im Mailrelay nach Update auf 11.7 behoben, der dazu führte das SPF Einträge im Greylisting nicht mehr ausgewertet wurden
- Bugfix: Fehler im Mailrelay nach Update auf 11.7 behoben, der dazu führte das sich Anwender nicht mehr am Mailrelay authentifizieren konnten
- Bugfix: Anzeigenfehler im Webinterface nach Update auf 11.7 behoben, der dazu führte das Remote SSL VPN Verbindungen nicht mehr angezeigt wurden
Build 11.7.1 Reseller Preview
- Feature: Hashverfahren in der Datenverbindung von SSL VPN einstellbar (Wiki)
- Feature: Erweiterte Filterung auf Dateinamen im Mailfilter
- Maintenance: Obsolete IPSec Einstellungen entfernt
- Bugfix: Webfilter Log-Einträge bei Benutzern mit Leerzeichen korrigiert
- Bugfix: Fehler in den Ignore Einstellung beim IPSec Dienst behoben
- Bugfix: Vmalloc Speicher des Kernels angepasst
- Bugfix: Fehler bei der Verwendung von eckigen Klammern in den Portfilter Gruppen behoben
- Bugfix: HTTP Proxy Statistiken wurden nicht erstellt
- Bugfix: Bei IPv6 Verbindungen über einen Tunnelprovider wurde die IPv6 Standard-Route nicht gesetzt, wenn das darunterlegende Interface ein wanX Interface ist
- Bugfix: Der lokale Port von SSL VPN Client Verbindungen wird nun ignoriert
- Bugfix: Cluster Synchronisation ist nun auch möglich wenn die SSH Sicherheitseinstellungen auf hoch oder sehr hoch stehen
Hinweise:
- Der IPv6 Tunnelprovider SIxXS wurde aus dem Wizard entfernt. Der Provider stellt seinen Dienst zum 6. Juni 2017 ein
Build 11.7.0 Reseller Preview
- Feature: Captive Portal Funktion im HTTP Proxy (Wiki)
- Feature: Dynamisches Netzwerkobjekt für Captive Portal User im Portfilter (Wiki)
- Feature: LTE wird bei entsprechender Hardware unterstützt (Wiki)
- Feature: Automatische Kanalsuche für WLAN
- Feature: DNS Rebinding prevention für den lokalen DNS Dienst
- Feature: Dynamic DNS Hostnamen können als Manager-Clients ohne Einschränkung verwendet werden
- Feature: DNS Server für Active-Directory Domains werden automatisch im DNS Server der UTM hinzugefügt
- Feature: Mailrelay der UTM kann nun auf Reverse-Lookups prüfen
- Feature: Im Spam-Report wird der Benutzername und die E-Mail-Adresse angegeben
- Feature: Weitere Zustellbedienungen für den Spam-Report einstellbar
- Feature: Alternativer Hostname im Spam-Report für das Userinterface einstellbar
- Feature: Neuer Assistent für das Erstellen von Bridges in den Netzwerkeinstellungen
- Feature: SNMP Version 3 wird unterstützt (Wiki)
- Feature: IPv6 Unterstützung für SSL VPN
- Feature: Neuer IPSec Dienst
- Feature: IPSec ECP-DH Gruppen können konfiguriert werden
- Feature: Webinterface ist nun responsive
- Feature: Cockpit des administrativen Interfaces passt sich der Bildschirmauflösung an
- Feature: Anzahl der Portlets nicht mehr auf 6 pro Seite beschränkt
- Feature: Anzahl der Cockpit Seiten hat keine Beschränkungen mehr
- Feature: Protokolle für Syslog Server einstellbar
- Feature: HTTP Proxy unterstützt SNI (Server Name Indication) für TLS
- Feature: Im Webfilter des HTTP Proxy können mehrere Zeiten pro Regelsatz angelegt werden
- Feature: Anzahl der Portfilter Regeln die das System (je nach Leistung) verwalten kann, wurde verdoppelt
- Feature: Keine Begrenzungen mehr von virtuellen IP Adressen im Cluster Betrieb
- Feature: Konfigurations-Datenbank unterstützt nun Secure-Delete
- Maintenance: UMTS Unterstützung überarbeitet (Wiki)
- Maintenance: Zertifikatsspeicher im administrativen Webinterface beschleunigt
- Maintenance: Verbesserte Hyper-V Unterstützung
- Maintenance: Überarbeitung Installation Wizard
- Maintenance: Überarbeitung SSL VPN Wizard
- Maintenance: Überarbeitung IPSec Wizard
- Maintenance: Live Log im administrativen Webinterface überarbeitet
- Maintenance: Darstellung des Spamfilters im Userinterface überarbeitet
- Maintenance: Verschlüsselungsalgorithmus für die Daten Verbindung bei SSL VPN einstellbar (Wiki)
- Maintenance: Darstellung bei vielen E-Mails im User-Interface beschleunigt
- Maintenance: Filtereinstellung im User-Interface für E-Mails verbessert
- Maintenance: HTTP Proxy SSL Interception verwendet für die Zertifikate SHA256
- Maintenance: Point-To-Point Schnittstellen heißen in den Netzwerkeinstellung nicht mehr pppX sondern wanX
- Maintenance: GSM Schnittstellen heißen in den Netzwerkeinstellungen nicht mehr pppX sondern wwanX.
- Maintenance: AES Beschleunigung bei INTEL basierten Appliances verbessert
- Maintenance: Standard Wert für das Anlegen von neuen Zertifikaten ist nun 2048 Bit für das RSA Schlüsselpaar.
- Maintenance: In Hyper-V Umgebungen können nun Online Backups durchgeführt werden
- Bugfix: Passwort-Änderung bei aktivierten OTP im UserInterface funktionieren nun
Hinweise:
- Die UTM Version 11.7 wird die letzte Version sein die noch das unsichere VPN Protokoll PPTP unterstützt
- Der VoIP Proxy ist ab Version 11.7 nicht mehr vorhanden
- Der Amdosoft B4 Client ist ab Version 11.7 nicht mehr vorhanden
Build 11.6.12
- Maintenance: Neuer Treiber für Intel® 40 Gigabit Ethernet Adapter
- Maintenance: Neue Bilder für das administrative Webinterface für RC300/RC400/RC700
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.12 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.11
- Security Bugfix: Cross-Site-Scripting Fehler im Live-Log der Admin-UI behoben
- Security Bugfix: Lokale Privileg-Eskalation im Linux Kernel behoben (CVE-2016-5195)
- Bugfix: Fehlende Anzeige der Absender- und Empfänger-E-Mail Adresse des Mailrelays im Livelog der Admin-UI behoben
- Bugfix: Fehler, das keine E-Mails mehr angenommen werden wenn TLSv1 im Mailrelay deaktiviert wurde, behoben
- Bugfix: Im Virusscan-Modul des HTTP Proxy wurde ein Fehler behoben, der dazu führte, das der Download von Dateien bei 2 GByte abbricht, wenn die Größe der Datei nicht ermittelt werden kann
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.11 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.10
- Security Bugfix: Fehler beim Interpretieren von HTML-Anweisungen innerhalb von Paket-Filter-Objekten behoben
- Bugfix: Zugewiesene Benutzergruppen können im WebInterface nicht vollständig entfernt werden
- Bugfix: Der Mailarchiv-Daemon ignoriert unter bestimmten Bedingungen die Limits für das Löschen von E-Mails aus dem Archiv
- Bugfix: Fehler im CLI Befehl zum Setzen von Kernel Parametern behoben
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.10 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.9
- Bugfix: Behebt einen Fehler im DHCP Client, wenn das Standard-Gateway sich nicht im gleichen Netz befindet, wie die zugewiesene IP Adresse
- Bugfix: Behebt einen Fehler im Mailscanner der dazu führen konnte, das E-Mails nicht mehr angenommen werden
- Maintenance: Der virtuelle Adressraum des Kernels wird nun bei System ab 4 GB RAM bei Neuinstallationen automatisch erhöht
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.9 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.8
- Bugfix: Passwort-Änderung im User-Interface bei aktivierten OTP nun möglich
- Bugfix: HTTP Proxy Fehler assertion failed store.cc:1866: isEmpty() behoben
- Bugfix: Fehler beim Download der SSL VPN Konfiguration mit sehr langen Hostnamen behoben
- Bugfix: Der Neustart des WAP Dienstes führte unter Umständen dazu das bei einer zweiten vorhandnen Bridge, das WLAN Interface nicht mehr der Bridge hinzugefügt wurde
- Bugfix: Logfiles für die Erstellung der Digest-E-Mail-Reports konnten nicht geschrieben werden (betrifft nur Version 11.6.7)
- Maintenance: Clamav Scan-Engine aktualisiert
- Maintenance: Libarchiv Library aktualisiert
- Feature: SPF im Greylisting des Mailrelay konfigurierbar
- Feature: E-Mail Statistiken im Admin- und User-Interface
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.8 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.7
- Bugfix: Problem mit dem voreingestellten Zertifikat beim Mailrelay gelöst
- Bugfix: Hyper-V zeigt nun den Hostnamen der UTM korrekt an
- Bugfix: Fehler „assertion failed“ im HTTP Proxy behoben
- Bugfix: Fehler beim Verarbeiten von Mime-Parts im Mailfilter behoben
- Bugfix: Fehler in der Zwangstrennung von PPP Verbindungen mit automatischen QoS behoben
- Maintenance: Die spdns.de Update Server zeigen nun auf spdyn.de
- Maintenance: Clientless VPN Timeout im User-Interface angepasst
- Feature: Die Virtual Router ID ist nun bei Cluster-Konfigurationen einstellbar
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.7 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.6
- Security Bugfix: Aktualisierung SSL Library, OpenSSL Version 1.0.1t (CVE-2016-2108, CVE-2016-2107, CVE-2016-2105, CVE-2016-2106, CVE-2016-2109, CVE-2016-2176)
- Security Bugfix: Es wurden mehrere Fehler in einer Anwendung behoben, von denen einer zu einer Remote Code Execution führen konnte. Weitere Details werden am 30.05.2016 veröffentlich. Es wird allen Kunden eine Aktualisierung empfohlen. 1
- Bugfix: Anpassungen im Mailscanner bei der Verarbeitung von E-Mails.
- 1)Securepoint GmbH lässt präventiv in regelmässigen Abständen Security Audits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de)
Update 30.05.2016:
Im Rahmen eines von der Securepoint GmbH beauftragtem Penetration-Tests wurde von der Firma RedTeam Pentesting GmbH ein Bufferoverflow in einer Opensource-Komponente (Clientless VPN) der UTM entdeckt (rt-sa-2016-004). Durch Ausnutzung dieser Schwachstelle ist es einem Angreifer möglich, beliebigen Code auszuführen, wenn das User-Interface (11.6 - 11.6.5) bzw. die Clientless VPN Ports (11.0 - 11.5.4) erreichbar sind. Es wird deswegen dringend empfohlen das Update 11.6.6 einzuspielen.
Sollte ein Update nicht zeitnah möglich sein, kann die Ausnutzung der Schwachstelle mit folgenden Einstellungen verhindert werden:
- Version 11.6 - 11.6.5: Deaktivierung des User-Interfaces. Die Einstellung hierfür ist unter Firewall/Implizite Regeln/VPN zu finden. Die Checkbox (User Interface Portal) darf nicht gesetzt sein.
- Version 11.0 - 11.5.5: Deaktivierung der Clientless VPN Ports für RDP und VNC. Die Einstellung hierfür ist unter Firewall/Implizite Regeln/VPN zu finden. Die beiden Checkboxen (Clientless VPN VNC, Clientless VPN RDP) dürfen nicht gesetzt sein
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.6 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.5
- Maintenance: Clamav Scan-Engine aktualisiert
- Maintenance: Kernel Update für USB3
- Bugfix: Behebt einen möglichen Datenbank Fehler für den Reverse Proxy
- Bugfix: Behebt einen Segfault in der CLI bei falscher Parameter-Übergabe
- Bugfix: Behebt einen Fehler im Intel Netzwerkkarten-Treiber der zu erhöhter Load führt
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.5 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.4
- Maintenance: Aktualisierung SSL Library, OpenSSL Version 1.0.1s
- Maintenance: Beim Anlegen einer neuen SSL VPN Verbindung ist nun standardmäßig Multihome aktiviert
- Maintenance: Verbesserungen in der Erkennung von Attachments im der Mailfilter Komponente.
- Bugfix: Behebt einen Fehler im Mailconnector der unter Umständen zum Absturz des Dienstes führen kann (getaddrinfo() Fehler)
- Bugfix: Behebt einen Fehler im Webinterface bei der Bearbeitung von Mailfilter-Regeln mit MIME-Typen
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.4 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.3
- Security Bugfix: glibc aktualisiert (CVE-2015-7547)
- Maintenance: Nameserver aktualisiert auf Version 9.10.3-P3
- Maintenance: DHCP Server aktualisiert auf Version 4.3.3-P1
- Maintenance: HTTP Proxy aktualisiert auf Version 3.4.14
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.3 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.2
- Maintenance: Aktualisierung SSH Dienst, Openssh Version 7.1p2 (CVE-2016-0777, CVE-2016-0778)
- Maintenance: Aktualisierung SSL Library, OpenSSL Version 1.0.1r (CVE-2015-3197)
- Maintenance: Aktualisierung Linux Kernel (CVE-2016-0728)
- Maintenance: Treiber für Intel Netzwerkkarten aktualisiert
- Maintenance: Startverhalten des SSL VPN Dienst verbessert.
- Maintenance: Startverhalten des IPSec Dienst verbessert
- Maintenance: Fehlerbehandlung im Mailfilter verbessert
- Bugfix: Behebt einen Fehler des HTTP Proxys im transparenten Modus für HTTPS, wenn Authentifizierung im Standard-Proxy-Modus aktiviert ist
- Bugfix: CSS Fehler im E-Mail Spamreport für Outlook korrigiert
- Bugfix: Fehler im Dynamic-DNS-Dienst im Zusammenhang mit Multipath-Routing behoben
- Bugfix: Fehler beim Blocken von Webradio-Diensten behoben
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.2 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6.1
- Maintenance: Die Logout Leiste im UserInterface wird beim Starten von Clientless VPN Verbindungen nun ausgeblendet
- Maintenance: Verbesserungen beim Mailconnecter für POP3 und IMAP
- Maintenance: OpenSSL aktualisiert
- Maintenance: Clamav Scan-Engine aktualisiert
- Maintenance: Verbesserungen beim Aufbau von IPSec Verbindungen nach dem Neustart der UTM
- Bugfix: Im UserInterface konnten gefilterte Anhänge aus E-Mails nicht heruntergeladen werden
- Bugfix: Bei Clientless VPN wurde die Active-Directory Domain beim Bearbeiten nicht angezeigt
- Bugfix: Neue Einträge im Greylisting des SMTP Gateway wurden nicht sofort übernommen
- Bugfix: Die Quell-Portrange von Diensten wurde beim Bearbeiten nicht korrekt ausgelesen
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6.1 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.6
- Feature: Die Konfiguration kann nun automatisch, zeitgesteuert in die Cloud gesichert werden
- Feature: Die Zonen beim Erstellen von Netzwerkobjekten (Spoofing Schutz) werden automatisch ermittelt
- Feature: Paketfilter Netmap Funktion unterstützt nun auch Dienstgruppen
- Feature: Detaillierte Verschlüsselungseinstellungen für Webserver, Reverse Proxy, SSL VPN, Mailrelay und SSH Dienst (Wiki)
- Feature: Erweiterte Einstellungen des SSH Dienstes (Wiki)
- Feature: Generierung von maschinenspezifischen Diffie-Hellman Parameter Keys (1024, 24048 und 4096 Bit)
- Feature: SSH Keys können können über das administrative Webinterface neu generiert werden
- Feature: Das Zertifikat für den Webserver kann über das administrative Webinterface neu generiert werden
- Feature: Die QoS-Funktionen der UTM wurden um einen automatischen Modus erweitert (Wiki).
- Feature: Der Dynamic-DNS-Client der UTM unterstützt nun die Aktualisierung hinter NAT-Routern.
- Feature: Clientless VPN verwendet nur noch den Userinterface Port. Websocket Ports für VNC und RDP werden über diesen getunnelt
- Feature: Die Anzahl der maximal unterstützen CPU-Kerne wurde auf 64 erhöht
- Feature: Die Zertifikatsverwaltung unterstützt den Import von Zertifikaten mit gleichem Common Name
- Feature: Die Zertifikatsverwaltung unterstützt das Wiederherstellen von widerrufenen Zertifikaten
- Feature: Automatisiertes Generieren von Preshard-Keys (IPSec) und WLAN Schlüsseln
- Maintenance: Das Webfilter-Konfigurationmenü wurde überarbeitet und aus dem Konfigurationsmenü des HTTP-Proxy ausgegliedert (Wiki)
- Maintenance: Verbessertes Cache Management des Content-Filter
- Maintenance: Beim Versand des Spam-Reports wird nun die Globale E-Mail Adresse als Absender-Adresse verwendet
- Maintenance: Globaler Ansprechpartner und E-Mail Adresse werden im Einrichtungs-Wizard abgefragt
- Maintenance: Die Version des OpenSSH Servers wurde aktualisiert
- Maintenance: Die nicht mehr benötigten Implied Rules für Clientless VPN (Websocket Ports) wurden entfernt
- Maintenance: Die IPv6 Funktionalität des Nameservers ist deaktiviertbar
- Maintenance: Der Dynamic-DNS-Client liefert nun mehr Loginformationen
- Maintenance: Allgemeine Performance Verbesserungen
- Bugfix: Ein Memory Leak in der Funktion SSL-Interception des HTTP Proxy wurde behoben
- Bugfix: Bei SSL VPN Verbindungen wurden beim Ändern der X.509 Zertifikate die Verbindung nicht aktualisiert
- Bugfix: Bei Multipathrouting und Ausfall einer Leitung, wurde unter Umständen keine Standardroute mehr gesetzt
- Bugfix: Fallback Konfigurationen mit DHCP Client als primäres Interface, hatten unter Umständen beim Neustart keine Standardroute gesetzt
- Bugfix: Der IPv6 Router Advertisement Daemon wird nun vom System überwacht und bei Bedarf neu gestartet
- Bugfix: Die Kompatibilität mit dem Microsoft Edge Browser wurde verbessert.
- Bugfix: Die Mailrelay Konfigurationen konnten zu einem verzögerten Start des Systems führen
- Bugfix: Anpassung der Authentifizierung-Mechanismen des Mailrelay
- Bugfix: Ein Fehler in der E-Mail-Validierung des SMTP Relay mit LDAP wurde behoben, wenn im Relaying der Domain das Feld „To“ ausgewählt ist
- Bugfix: Kleinere Anpassungen im Mailscanner bei der Verarbeitung von E-Mails
- Bugfix: Verbesserungen des Authentifizierungs-Dienstes für Active-Directory Anbindungen
- Bugfix: CSS des administrativen Webinterface angepasst, das den Firefox Browser ab Version 40 zum abstürzen bringt, wenn man den Einrichtungs-Wizard aufruft
Known Issue:
Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):
Nach dem Update auf die Version 11.6 werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt)
Build 11.5.5
- Bugfix: Behebt ein Problem in der Authentifizierung wenn der Benutzername mit dem Namen der Active Directory Domain übereinstimmt
- Bugfix: In einer Cluster Konfiguration wird nun der SSL VPN Dienst auf der Spare nicht gestartet wenn er auf deaktiviert steht
- Bugfix: Behebt ein Problem bei der Konfiguration von UMTS Schnittstellen ohne Benutzername und Passwort
- Maintenance: Mailrelay als Client unterstützt nun die Authentifizierung-Methode LOGIN
- Maintenance: Optimierung bei der Konvertierung von Konfigurationsdatenbanken bei einem Upgrade
Known Issue:
Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.
Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:
Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an
Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter
Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216
Build 11.5.4
- Bugfix: Dynamic DNS in den Interface Einstellungen deaktivierbar
- Bugfix: Fehler beim Ausfall einer Leitung bei Multipath-Konfiguration behoben
- Bugfix: Netzwerkmasken-Fehler beim Anlegen einer Site-To-Site SSL-VPN Client Verbindung behoben
- Bugfix: Darstellungsfehler bei Cluster-Wechsel behoben
- Bugfix: Fehlende Postmaster E-Mail-Adresse im Mailconnector behoben
- Maintenance: Variables Paging in den LDAP Einstellungen
- Maintenance: Die Pattern Dateien des Cyren Virenscanners werden im Fehlerfall automatisch zurückgesetzt
- Maintenance: Unterschiedliche E-Mail Einstellungsgrößen bei Mailconnector und Mailrelay werden angezeigt
- Maintenance: Lizenz-Änderungen im Webfilter sind nun auch ohne Neustart des Systems aktiv
- Feature: DHCP Server Einstellungen werden im Cluster-Betrieb synchronisiert
Known Issue:
Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.
Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:
Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an
Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter
Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216
Build 11.5.3.1
- Bugfix: Beim Update von Version <11.5 wurden die Berechtigungen für das Maliarchiv nicht korrekt gesetzt.
Known Issue:
Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.
Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:
Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an
Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter
Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216
Build 11.5.3
- Security Bugfix: Nameserver aktualisiert (CVE-2015-5477)
- Bugfix: Fehlende Markierungen über den Status der E-Mails werden nun im Mailscanner gesetzt
- Bugfix: Durch falsche Berechtigungen konnte es passieren, das E-Mails im Archiv nicht gelöscht wurden
- Bugfix: Spam-Reports an Benutzer mit Leerzeichen im Benutzernamen (AD/LDAP) wurden nicht verschickt
- Bugfix: POP3/IMAP Konten mit Sonderzeichen im Benutzernamen/Passwort konnten vom Mailconnector nicht abgearbeitet werden.
- Maintenance: Der Mailscanner erlaubt nun nicht mehr das Speichern von leeren Werten.
- Maintenance: Das Aktualisieren der lokalen Nutzerdatenbank wurde beschleunigt.
- Maintenance: Zertifikate ohne x509-Extensions können nun verarbeitet werden
Known Issue:
Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.
Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:
Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an
Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter
Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216
Build 11.5.2
- Security Bugfix: OpenSSL aktualisiert (CVE-2015-1793)
- Bugfix: Behebt einen Fehler beim Auslesen des Active Directorys wenn mehr als 64 Gruppen vorhanden sind
- Bugfix: Behebt einen Fehler im Authentifizierungs-Dienst, wenn die Active Directory Anmeldung in kurzen Zeitabständen, mehrmals deaktiviert und wieder aktiviert wird
- Bugfix: Fehler im Authentifizierung-Dienst behoben bei Active Directory Accounts ohne Username
- Bugfix: Korrigiert einen Fehler mit Netzwerk-Dienst wenn Paketfilter Regeln zwischen Point-To-Point Roadwarrior Verbindungen (PPTP/L2TP) konfiguriert sind
- Maintenance: Bei Umstellung auf OTP Authentifizierung für IPSec und SSL VPN, steht die Funktion nun sofort zu Verfügung, ohne das der entsprechende Dienst neu gestartet werden muss
Known Issue:
Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.
Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:
Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an
Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter
Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216
Build 11.5.1
- Bugfix: Falsche Netzwerkmaske bei lokalem User mit statischer IP Adresse für SSL-VPN behoben
- Bugfix: Fehler beim Paket-Filter editieren mit dem Firefox Browser behoben
- Bugfix: Darstellungs-Fehler im Webinterface unter Portfilter/Diensten und Portfilter/Netzwerk-Objekten mit dem SOC-Client behoben
- Bugfix: SIP-Proxy Konfigurationen wurden nicht geschrieben
- Bugfix: Fehler bei der LDAP E-Mail-Validierung des Mail-Relay für ausgehende Nachrichten behoben
- Bugfix: Hohe CPU-Auslastung bei Verwendung des HTTP-Proxy mit NTLM Authentifizierung behoben
- Bugfix: Fehler bei Cluster-Konfiguration und deaktivierten Interfaces behoben
- Bugfix: Doppelte Clientless-VPN Verbindungen werden nun im Userinterface ausgefiltert wenn mehrere Gruppen mit Clientless-VPN Verbindungen einem User zugeordnet sind
- Maintenance: Verhalten des Authentifizierung-Dienstes bei fehlerhafter Active-Directory Konfiguration verbessert
- Maintenance: Diffie-Hellman Parameter erhöht für die Erstellung neuer SSL-VPN Verbindungen
- Maintenance: LDAP-Filtereinstellungen bei der Active-Directory Konvertierung verbessert
Hinweis: Das Update wird im ersten Schritt nur an NFR-Lizenzen ausgeliefert. Die Verteilung erfolgt gestaffelt über einen Zeitraum von 24 Stunden
Known Issue:
Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren
Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:
- Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen
- Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an
Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter
Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216
Build 11.5
- Security Bugfix: SSLv2 und SSLv3 im Reverse-Proxy und Webserver deaktiviert und angebotene Cipher-Liste aktualisiert
- Security Bugfix: OpenSSL aktualisiert (CVE-2015-0286, CVE-2015-0287, CVE-2015-0289, CVE-2015-0293, CVE-2015-0209, CVE-2015-0288)
- Security Bugfix: NetSNMP aktualisiert (CVE-2014-2284)
- Bugfix: DHCP Client unterstützt nun auch Gateways die sich nicht im gleichen Subnetz befinden
- Bugfix: Verbesserung der Ladezeiten des Portfilters
- Bugfix: Webfilter Regelsätze mit mehr als 20 Objekten funktionieren nun
- Bugfix: Manager IPv6 Adressen für die Administration wurden nicht aktiviert
- Bugfix: Aktualisierungsproblem bei Zwangstrennung mit IPv6 Tunnelbrokern behoben
- Bugfix: Problem in IPv6 DHCP-Server bei Vergabe von statischen IP Adressen behoben.
- Bugfix: Ablaufende Sessions bei Clientless-VPN behoben
- Bugfix: Fehler in der Farbdarstellung bei Clientless-VPN behoben
- Bugfix: Fehlender Krypto-Algorithmus Serpent für IPSec Quick-Mode implementiert
- Bugfix: Im SMTP-Gateway wurden die Ausnahmen für Greeting-Pause, Verbindungslimit und Rate-Kontrolle nicht korrekt gespeichert
- Bugfix: Im SMTP-Gateway wurden die Einträge für Domain-Mapping nicht korrekt gelöscht
- Bugfix: Das Live-Log im Admin-Interface brach nach zirka 15 Minuten im geöffneten Zustand ab
- Bugfix: Fehler in QoS-Filtern behoben
- Feature: HTTPS SSL-Interception im transparenten Proxy-Modus (Wiki)
- Feature: Neue Netmap Funktion im Paketfilter (Wiki)
- Feature: Mail-Connector zum Abholen von E-Mails via POP3(S)/IMAP(S) und Weiterleiten per SMTP (STARTTLS) (Wiki)
- Feature: Neuer Mailfilter für transparent POP3 Proxy, Mail-Connector und SMTP Gateway (Wiki).
- Feature: Überarbeitete Active Directory/LDAP Integration
- Feature: Digest-E-Mail Report (Spamreport)
- Feature: Neues User-Interface
- Feature: Neuer Regel-Wizard im Admin-Interface
- Feature: Die Handhabung der Netzwerkobjekte und Dienste im Portfilter wurden überarbeitet
- Feature: Neuer Interface-Wizard im Admin-Interface generiert automatisch Regeln für den Portfilter
- Feature: Neuer SSL-VPN-Wizard für Site-To-Site Verbindungen
- Feature: Überarbeiteter Live-Log im Admin-Interface
- Feature: Passwort-Sicherheitsprüfung im Admin-Interface
- Feature: Neue Portlets im Admin-Interface für: CPU-Temperatur, Festplatte, SSL-VPN
- Feature: Portlets nun skalierbar.
- Feature: Die Graphen in den Portlets zeigen nun nicht mehr die letzten 3 Monate, sondern das gesamte vergangene Jahr
- Feature: Neue Online-Hilfe im Admin-Interface
- Feature: Rundgang mit Kurzbeschreibung der Funktionen des Admin-Interface
- Feature: Audit Log dokumentiert Konfigurations-Änderungen.
- Feature: OTP Authentifizierung für Webinterface, SSH, Konsole, SSL VPN, IPSec xAuth (Wiki)
- Feature: QR-Codes für OTP und WLAN
- Feature: Neue Cyren und Clamav Scan-Engines
- Feature: Dynamic DNS unterstützt jetzt IPv6
- Feature: Implied Rules werden nun auch bei Änderungen des User-Interface Ports automatisch angepasst
- Feature: Neues CLI Kommando zum Anzeigen und Löschen der Mail-Queue des SMTP-Gateway
- Feature: Neue Webfilter Kategorie für gefährliche Webseiten standardmässig bei Neuinstallationen aktiv
Hinweis: Das Update wird im ersten Schritt nur an NFR-Lizenzen ausgeliefert. Die Verteilung erfolgt gestaffelt über einen Zeitraum von 24 Stunden
Known Issue:
Authentifizierung am HTTP Proxy mittels LDAP muss neu konfiguriert werden. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren
Prüfen Sie nach dem Update insbesondere folgende Funktionalität:
- Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen
- Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an
Build 11.4.3.6
- Security Bugfix: Kritisches Problem in der glibc Library behoben (CVE-2015-0235)
- Bugfix: Update der OpenSSL Library (https://www.openssl.org/news/secadv_20150108.txt)
- Bugfix: Update SSL VPN (https://community.openvpn.net/openvpn/wiki/SecurityAnnouncement-97597e732b)
- Bugfix: Update des DNS Server der UTM (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8500)
- Bugfix: Update IPSec Dienst (https://www.strongswan.org/blog/2015/01/05/strongswan-denial-of-service-vulnerability-(cve-2014-9221).html)
- Bugfix: Update ClamAV Virenscan-Engine
- Bugfix: Fallback Verhalten bei Verwendung von Point-To-Point Interfaces verbessert
- Bugfix: Memory-Leak im DynDNS Dienst beseitigt
- Bugfix: Fehler im Template des Mailrelay für Smarthost Port korrigiert.
- Feature: Anzahl der File Descriptor im HTTP Proxy über die CLI konfigurierbar (CLI: extc value set application "http_proxy" variable ULIMITN value 8192)
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.6 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden
Build 11.4.3.5
- Security Bugfix: Kritische Probleme in der Bash-Shell behoben (CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277)
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.5 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden
Build 11.4.3.4
- Security Bugfix: Kritisches Problem in der Bash-Shell behoben (CVE-2014-6271)
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.4 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden
Build 11.4.3.3
- Bugfix: Das Update behebt das ungewollte Starten des Active Directory Dienstes, wenn der Dienst nicht konfiguriert ist
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden
Build 11.4.3.2
- Bugfix: Fehler beim Löschen von E-Mail Domains in den Domain Mapping Einstellungen des Admin-Interface behoben
- Bugfix: Als ungültig markierte X.509 Zertifikate werden nun bei SSL VPN korrekt abgelehnt
- Bugfix: Stabilitätsverbesserungen beim Update von Dynamic DNS Accounts
- Bugfix: Problem bei IPv6 Router Advertisement behoben
- Bugfix: Stabilitätsverbesserungen bei Multipath Konfigurationen
- Bugfix: Optimierungen beim Umschalten von Clusterkonfigurationen und dem Neuinitialisieren der Dienste
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden
Build 11.4.3.1
- Security Bugfix: Update OpenSSL Library
- Bugfix: Problem bei Benutzung des Algorithums Serpent oder Twofish mit 256 Bit bei IPSec behoben
- Bugfix: Problem beim Anlegen eines VDSL Interfaces ohne Link behoben
- Bugfix: Memory-Leak im Syslog Dienst behoben
- Bugfix: Änderungen in der Interface Einstellung „Route Hint“ wurden nicht aktualisiert
- Feature: Die Port-Einstellungen des lokalen Webservers sind nun auch in den Server Einstellungen zu finden
- Feature: Kernel wurde aktualisiert und die aktuellsten Hyper-V Treiber implementiert (Unterstützung ab Windows Server 2008 R2)
- Feature: Integration der LIS (Linux Integration Services) für Hyper-V
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden
Build 11.4.2
- Security Bugfix: Kritische Probleme in der OpenSSL Library behoben (https://www.openssl.org/news/secadv_20140605.txt)
- Bugfix: Update ClamAV Virenscan-Engine
- Bugfix: Korrektur WebInterface in der Webfilter-Konfiguration bei französischer Spracheinstellung im Browser behoben
- Bugfix: Regex Anpassung im Mailfilter für Anbindung an Microsoft Exchange
- Bugfix: Fehler in der CLI im Paketfilter-Regelwerk und Mailfilter behoben, bei Angabe der Positions-Option (pos)
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4.1.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.4.1.4
- Feature: Problem bei SMTP Verbindungen zu Microsoft Exchange Servern die eine fehlerhafte TLS Implementation benutzen, behoben
- Feature: In den Relaying Einstellungen des SMTP Dienstes können die konfigurierten Domains nun weiter eingeschränkt werden (Exakten Domainnamen für das Relaying verwenden)
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4.1.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.4.1.3
- Security Bugfix: Kritisches Problem in der OpenSSL Library behoben. Betrifft nur UTMs die bereits auf dem Stand 11.4.1.2 sind (https://www.openssl.org/news/secadv_20140407.txt)
- Bugfix: Beim HTTP Proxy mit deaktivierter SSL Interception wurde bei gesperrten HTTPS Seiten nicht auf die korrekte Fehlermeldungsseite des Proxys umgeleitet
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4.1.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.4.1.2
- Bugfix: HTTPS Aushandlung des Reverse Proxy und des Webserver für das Admin- und User-Interface optimiert
- Bugfix: Update der SSL Library
- Bugfix: Problem bei Dial On Demand der Point-To-Point Verbindungen behoben
- Bugfix: Problem bei doppelten IP Adressen in der Cluster-Konfiguration behoben
- Bugfix: Problem bei IPv6 DHCP Client Konfigurationen behoben
- Bugfix: Problem beim Anlegen von Rule-Routing Einträgen im Paketfilter behoben
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4.1.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.4.1.1
- Bugfix: Behebt ein Problem in der Datenbank für X.509 Zertifikate.
Hinweis:
In den Versionen kleiner 11.4.1 war es möglich mehrmals das gleiche Zertifikat zu importieren.
Wenn das der Fall ist, sind nach dem Update auf die Version 11.4.1 keine Zertifikate mehr sichtbar.
Sollten Sie das Problem haben, wenden Sie ein Rollback an und aktualisieren danach auf die Version 11.4.1.1
Die Version 11.4.1.1 entfernt automatisch, doppelt vorhandene Zertifikate
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4.1.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.4.1
- Bugfix: HTTP Proxy NTLM Authentifizierung, Probleme mit Umlauten im Benutzername behoben
- Bugfix: Fehlende Firmware für die Netzwerkkarten der RC410 hinterlegt
- Bugfix: Fehler innerhalb des Routings bei Verwendung von Multipath und L2TP mit Proxy ARP behoben
- Bugfix: Die ClamAV-Virenscan-Engine wurde auf Version 0.98.1 aktualisiert
- Bugfix: Das Update der Mailarchive-Regel-Datenbank bei UTMs kleiner Version 11.3 ist korrigiert
- Bugfix: Fehler in der Suchfunktion in den Netzwerkeinstellungen behoben
- Feature: Die SSL VPN Implied Rule paßt sich nun automatisch an die Ports der SSL VPN Server Konfigurationen an. Bei der Verwendung der Implied Rule, ist es nun nicht mehr notwendig im Paketfilter dafür Regeln zu erstellen
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.4
- Security Bugfix: Der SSH Dienst wurde aktualisiert wegen möglicher lokalen Rechte-Ausweitung
- Bugfix: Problem mit IPv6 Router-Advertisement-Daemon in Cluster Konfiguration behoben
- Bugfix: Die Funktion Factory Defaults löscht nun auch die hinterlegte Lizenz
- Bugfix: Fehler beim Einrichtungsassistenten bei Verwendung des IE10 von Microsoft behoben
- Bugfix: Mögliche Probleme beim Rücksichern einer Konfiguration aus dem Cloud-Backup behoben
- Bugfix: Clientless VPN konnte nicht mit AD Usern verwendet werden. Rechte-Problem behoben
- Bugfix: L2TP-Dienst konnte unter bestimmten Umständen nicht neu gestartet werden
- Bugfix: Feste DHCP Leases sind nun editiertbar und das MAC Adressen Feld unterstützt nun das Einfügen mittels „cut and paste“
- Bugfix: In der Zertifikatsverwaltung werden Intermediate-CAs nun auch unter CAs angezeigt
- Feature: Im HTTP Proxy kann man nun bei SSL Interception den Public Key der ausgewählten CA direkt herunterladen.
- Feature: Das PDF zur Dokumentation der Konfiguration enthält nun auch diverse Betriebssystem Informationen, wie den aktuellen Routing-Table, Netzwerk-Interfaces und Prozess-Übersicht
- Feature: Amdosoft b4 Monitoring Agent zur Überwachung der UTM implementiert
- Feature: Zur Konfiguration des Reverse Proxy steht nun ein Wizard zur Verfügung
- Feature: VLans mit einer gleichen ID können nun auf unterschiedlichen Interfaces erzeugt werden
- Feature: Beim Erzeugen von Zertifikaten kann nun eine Schlüssellänge angegeben werden und Daten aus der CA können direkt übernommen werden
- Feature: Der HTTP Proxy Content Filter unterstützt die BPJM Filterliste (Bundesprüfstelle für jugendgefährdende Medien)
- Feature: Feste DHCP Leases können mit der selben MAC Adresse nun bei unterschiedlichen Netzen eingetragen werden
- Feature: Regeln im Paketfilter, die keine Funktion besitzen, werden nun entsprechend gekennzeichnet
- Feature: Im Cockpit steht nun eine neue App zur Verfügung (Neighbor) das alle lokalen Systeme anzeigt, die über die Firewall kommunizieren
- Feature: Apps können nun temporär vergrössert werden und bei Apps die Graphen anzeigen kann nun auch gezoomt werden
Folgendes ist bei dem Update zu beachten:
Der VPN Dienst PPTP ist bei Neuinstallationen nun Standardmässig ausgeblendet. Unter den erweiterten Einstellungen im WebInterface kann dieser manuell wieder aktiviert werden. Um in die erweiterten Einstellungen zu gelangen, drücken sie auf der Tastatur die Kombination <Strg><Alt>a (auf einer Apple Tastatur <crtl><alt>a). Unter dem Hauptpunkt Extras erscheint dann der Menü Punkt erweiterte Einstellungen
Bei UTMs mit Flashspeicher und weniger als 1,5 GB RAM, wird aus Ressourcen Gründen der Clamav Virenscanner nach dem Update deaktiviert. Dienste, die diesen Nutzen sollten, werden automatisch auf den Commtouch Virenscanner konfiguriert. Im WebInterace bekommen sie nach dem Update eine entsprechende Nachricht, wenn das auf Ihre UTM zutrifft
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.3.1.2
- Bugfix: Im Union FS Layer wurden versteckte Dateien nicht vollständig gelöscht
- Bugfix: Logging des SNMP Dienstes angepasst
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.3.1.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.3.1
- Bugfix: Eventuell auftretende Probleme im Mailrelay in Verbindung mit Smarthost behoben
- Bugfix: Fehler im Mailfilter beim Filtern auf SRC/DST behoben
- Bugfix: Fehler im WebInterface beim Bearbeiten des UMTS APN behoben
- Bugfix: Umrechnungsfaktor beim HTTP Proxy in der Bandbreiten-Einschränkung angepasst
- Feature: Unterstützung für die Netzwerkkarte NetXtreme erweitert
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.3.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.3.0.3
- Bugfix: Eventuell auftretende Probleme mit der Cluster-Synchronisation behoben
- Bugfix: Problem beim Anlegen von mehr als zwei WLans behoben
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.3.0.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.3.0.2
- Bugfix: SSL VPN Site to Site Fehler in der Authentifizierung behoben
- Bugfix: Erneutes Versenden von E-Mails die als Spam klassifiziert wurden, werden nun nicht erneut durch den Mailfilter geparst
- Bugfix: LDAP Fehler im Mailrelay behoben
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.3.0.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.3.0.1
- Bugfix: Problem mit Terra Lizenzen nach Update auf 11.3 gelöst
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.3.0.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.3
- Security Bugfix: Cross-Site-Scripting Lücke im Live Log behoben. 1
- Security Bugfix: Directory-Traversal-Attacke in Clientless VPN behoben. 1
- Security Bugfix: Unauthorisierter Datei-Upload in Clientless VPN behoben. 1
- Security Bugfix: Clientless VPN Websocket-Verbindung. Fehler in der Prüfung auf Session ID behoben.
- Bugfix: Active Directory Gruppen werden nun nach Alphabet sortiert
- Bugfix: Die Limitierung des Mailarchives auf 3,2 GByte wurde aufgehoben.
- Bugfix: Fehler in der Zeit-Einstellung korrigiert
- Bugfix: Fehler beim Anlegen eines PPTP DSL Interfaces behoben
- Bugfix: VLAN-Interface wurden nicht vollständig entfernt, wenn diese in der Konfiguration entfernt wurden
- Bugfix: Fehler in der Auswahl des Tastatur-Layouts am Login an Konsole behoben
- Bugfix: Clientless VPN: Domain Namen mit mehr als 15 Zeichen wurden bei Übergabe an den RDP Server abgeschnitten
- Bugfix: Clientless VPN: Problematik mit einigen Remote Desktop Servern behoben.
- Bugfix: HTTP Proxy: Webseiten die ein Statuscode 200 zurück liefern und keinen Content hinterlegen, produzierten ein ICAP Protokoll Fehler
- Bugfix: HTTP Proxy: NTLM Authentifizierung mit Umlauten im Benutzernamen
- Feature: HA Funktionalität (erfordert HA Lizenz) Cluster Konfiguration - Best Practice
- Feature: DHCP Client IPv6 Unterstützung
- Feature: Lokale HTTP Proxy Auswertung
- Feature: Export Name von SSL VPN Client geändert, zum einfacheren Import in Mac OSX Tunnelblick Client
- Feature: Neuer Befehl manager (new|get|set) um über die CLI einfacher IP Adressen für die Administration frei zu schalten
- Feature: Logmeldungen für SSL VPN angepasst um unterschiedliche Verbindungen besser zu unterscheiden
- Feature: Die laufende Konfiguration kann nun zwecks Dokumentation gedruckt werden
- Feature: Mailrelay: ausgehende IP Adresse fest einstellbar
- Feature: Mailfilter: Die Regeln können nun per Drag and Drop verschoben werden
- Feature: HTTP Proxy: Webfilter Standardverhalten einstellbar
- Feature: Reverse Proxy: SSL Protokoll einstellbar
- Feature: UserInterface: Spam-Filter mit Resend-Funktionalität
- 1)Securepoint GmbH lässt präventiv in regelmässigen Abständen Security Audits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de)
Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.2.5.3
- Bugfix: Die ClamAV-Virenscan-Engine wurde auf Version 0.97.8 aktualisiert
- Bugfix: Doppelt im SSL-VPN-Server eingetragene Subnetze werden beim Übermitteln der Daten entfernt
- Bugfix: Das Cache-Log des HTTP-Proxy wird jetzt korrekt rotiert
- Bugfix: Beim Export von RSA-Schlüsseln über das Webinterface wird jetzt immer der Public-Key exportiert. Der Download des Private-Keys ist weiterhin über die CLI möglich:
rsa export id <ID> flags PRIVATE
- Bugfix: Es wurde ein Problem beim Ausführen des Befehls
user who
behoben, der zum Einfrieren der Appliance führen konnte
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.2.5.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen
Build 11.2.5.2
- Bugfix: Fehler beim Bearbeiten von Routen behoben
- Bugfix: Problem beim Anlegen von PPTP Interfaces behoben
- Feature: Diverse Verbesserungen im Bereich der Wlan-Konfiguration
- Feature: Netzwerk Bridging. Interfaces können zu einer Bridge zusammengefasst werden (siehe auch http://wiki.securepoint.de/index.php/Bridging_UTMV11)
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2.5.2 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface
Build 11.2.5.1
- Bugfix: WLan Probleme mit Apple iOS6 Geräten, die den 802.11n-Modus unterstützen, behoben
- Bugfix: IPSec Tunnelaufbau nach DSL Zwangstrennung verbessert
- Bugfix: Zeitweise hohe CPU Last in Zusammenhang mit FWA-3210 Hardware und LCDd behoben
- Feature: HTTP Proxy kann bei eingeschalteter Authentifizierung (Browser hat Proxy eingetragen) nun gleichzeitig auch im transparenten Modus ohne Authentifizierung betrieben werden
- Feature: Konfigurations-Wizard um WLan Einstellungen erweitert
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2.5.1 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface
Build 11.2.5
- Security Bugfix: Im Linux Kernel wurde eine Sicherheitslücke geschlossen, die es einem lokalen User ermöglicht sich root-Rechte zu verschaffen.
- Bugfix: Reduzierung der Virenscanner Threads bei Appliances mit einem Core und weniger als 1GHz
- Bugfix: Bei Verwendung des ECAP Modules (Virenscanner), konnte es vorkommen das einige File Deskriptoren nicht wieder geschlossen werden
- Bugfix: Mögliche Einwahl-Probleme bei DSL PPPoE Verbindungen nach Zwangstrennung behoben
- Bugfix: Umstellung der Mail-Queue auf einen permanenten Speicherbereich, so das E-Mails aus der Queue nach einem Reboot nicht verloren gehen
- Bugfix: Beim Editieren von PPPoE wurde das Interface fälschlicher Weise nicht wieder als dynamisches Interface markiert
- Bugfix: Beim Importieren einer Konfiguration UTM V10 wurden PPPoE Interfaces nicht als dynamisches Interface markiert
- Bugfix: Übermittlung der LZO Einstellungen an den SSL VPN Client korrigiert
- Bugfix: Editieren von SSL VPN Site to Site Verbindungen korrigiert
- Bugfix: Beim manuellen Löschen aller Konfigurationen startete die UTM nicht in den Werkseinstellungen
- Bugfix: Der Status von IPSec IKEv2 Verbindungen wurde im WebInterface nicht korrekt dargestellt
- Bugfix: Der Mailfilter (Spamfilter) produzierte unter umständen doppelte Header Einträge in den verarbeiteten E-Mails
- Bugfix: Verbindet sich ein SSL VPN Client mit aktivierten IPv6 Support, wurden das Log mit einer Log-Meldung dazu geflutet
- Bugfix: Speicher- und Performance Verbesserung des Firewall Servers
- Feature: Neues App für das Cockpit für die Zugriffsstatistik über den transparenten HTTP Proxy
- Feature: Es können für die Administration nun auch Hostnamen anstatt IP Adressen/Netze eingetragen werden
- Feature: In der Konfiguration des Mailfilters sind nun auch „oder“ Verknüpfungen in den Regeln möglich
- Feature: Neue implizierte Regel um das NAT für IPSec automatisch zu deaktivieren
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2.5 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface
Build 11.2.3
- Bugfix: Das Update enthält die fehlende Firmware für einige Broadcom Netzwerkkarten
- Bugfix: Problem beim dynamischen Erstellen der Zertifikate im SSL Proxy behoben
- Bugfix: Es werden nun Wildcard Zertifikate im SSL Proxy erzeugt, wenn der Hostname in der URL länger als 64 Zeichen ist
- Bugfix: Interoperabilität des PoP3 Proxy mit PoP3 Connectoren verbessert
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2.3 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface
Build 11.2.2
- Bugfix: Update Root Hints im Nameserver
- Bugfix: Update der TLS Komponenten.
- Bugfix: Problem bei Verwendung des Mailrelays und der Smarthost Funktion im Zusammenhang mit TLS gelöst
- Bugfix: Automatisches Laden des NAT Moduls für Aktiv-FTP behoben
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2.2 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface
Build 11.2.1
- Bugfix: Update der TLS Komponente für Clientless VPN
- Bugfix: Behebt Darstellungsproblem im UserInterface, Bereich Spamfilter
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2 sich die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface
Build 11.2
- Security Bugfix: Validierungstiefe der Authentifizierung im WebInterface erhöht, um eine mögliche Rechteausweitung zu unterbinden. Eine Schwachstelle in der Authentifizierung im WebInterface ermöglicht unter Umständen die Manipulation von Bereichen der Datenbank
- Bugfix: Bereinigung einiger Fehler bei Verwendung von Fallback-Interface- Konfigurationen
- Bugfix: Verbesserung der UMTS Einwahl bei schwankender Signalstärke
- Bugfix: Cloudbackup Fehler bei Konfigurations-Namen mit Leerzeichen beseitigt
- Bugfix: Möglicher Fehler beim dekodieren von E-Mail-Headern im Mailfilter korrigiert
- Bugfix: Verwendung von Umlauten im HTTP Proxy Webfilter korrigiert
- Bugfix: Verbesserungen der Ausfallsicherheit beim Multipathrouting
- Bugfix: Fehler bei Verwendung von lokalen Gruppen im HTTP Proxy beseitigt
- Bugfix: Zugriff auf einige Versionen des MS IE Servers über den HTTP Proxy beseitigt
- Bugfix: Möglicher Abbruch eines Download bei eingeschalteten Virenscan in Kombination mit bestimmten Webserver behoben.
- Feature: SMP Prozessor Unterstützung
- Feature: Aufbau von GRE Tunneln über die Interface-Einstellungen implementiert
- Feature: Automatische Update-Funktion für den SSL-VPN Client
- Feature: Unterstützung von IPSec Kompression und Erweiterung der Implied Rules
- Feature: Reverse Proxy, Unterstützung von Authentication-Passthrough
- Feature: HTTP Proxy Virenscanner, Whitelist des ICY-Protokolls einstellbar
- Feature: Im Regelwerk können nun Dienste auch mit der Stateless-Funktion konfiguriert werden
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2 sich die Reihenfolge der eth-Interface ändert
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface
Build 11.1.2
- Bugfix: Aufgrund eines Fehlers bei der Datenbankkonvertierung, konnten einige Konfigurationsdatenbanken nicht auf die Version 11.1.1 aktualisiert werden. Mit der Version 11.1.2 wird die Konvertierung erfolgreich durchgeführt.
Build 11.1.1
- Bugfix: Problem beim manuellen Neustart des Spamfilter Dienstes behoben
- Bugfix: Fehler beim Anlegen von mehr als einem WLAN Netz behoben
- Bugfix: Fehler in den implizierten Regeln für SSL VPN und Verwendung des TCP Protokolls behoben
- Bugfix: Bei statischen DHCP Leases wurde kein Standard-Gateway/Nameserver übermittelt
- Bugfix: Mögliche, falsche Dekodierung des Mailheaders im Mailfilter Dienst behoben
- Bugfix: Mögliche Datenbankkorruption im Authentisierungs-Dienst behoben
- Bugfix: HTTP Proxy Performance verbessert
- Bugfix: Caching im Contentfilter verbessert
- Bugfix: Fehler im Anlegen von SSL VPN Site to Site Verbindungen behoben
- Bugfix: Fehler beim Anlegen der Netzwerkmaske bei SSL VPN Roadwarrior Verbindungen behoben
- Bugfix: Fehler in der automatischen Aktualisierung des Live-Logging im WebInterface behoben
- Feature: Im LCD Display wird jetzt die vollständige Versionsnummer angezeigt
Build 11.1
- Bugfix: Active Directory Authentifizierung für PPTP/L2TP VPN Verbindung
- Bugfix: Zuweisung fester IPs für PPTP/L2TP/SSL VPN Verbindungen
- Bugfix: Zuweisung von DNS/WINS Servern bei PPTP/L2TP Verbindungen
- Bugfix: TLS Support für PoP3Proxy deaktivierbar
- Bugfix: Setzen des Server-Flags bei Zertifikaten
- Feature: Verbesserungen der Bandbreite bei WLan Verbindungen
- Feature: Optimierungen beim Import von Konfigurationen aus der Version 10
- Feature: WoL Funktion für Active Directory Benutzer im UserInterface
- Feature: SSL VPN Funktion für Active Directory Benutzer im UserInterface
Build 11.0.1
- Bugfix: Portfiltersortierung, die Regeln wurden in Gruppen sortiert
- Bugfix: Contenfilter funktionierte nicht korrekt
Build 11.0 - First Release
SICHERUNGSMANAGEMENT
- Cloudbackup
NETZWERK
- IPv6 Funktionalität
- Konfiguration zu externen Tunnelbrokern (z.B. HE.net)
- IPv6 DHCP + Router Advertisment
- DHCP-Relay (generell nun auch durch VPN Tunnel möglich)
- Regeln für DHCP werden automatisch für das entsprechende Interface angelegt
- WLAN Access Point
- Virtuelle WLANs (zum Beispiel Gäste Netze)
- PSK oder Enterprise Authentisierung (Active Directory)
- UMTS
- Generelle Internetverbindung über UMTS oder Fallback
PACKETFILTER
- Einzelne Host/Netze/Dienste oder in Kombination mit Gruppen möglich (kein Gruppenzwang mehr)
- Implied Rules Konfiguration
- Standarddienste wie Bootp, Netbios Broadcast... die nicht explizit freigeschaltet sind, können durch einen Klick aus dem vom Logging entfernt werden
- Standarddienste wie VPN können durch einen Klick der Zugriff gewährt werden, ohne extra eine Regel zu schreiben
- Static NAT, Hide Nat und deren Ausnahmen werden jetzt direkt im Paketfilter konfiguriert
- Bedeutet: wenn solch eine Regel geschrieben wird, muss keine extra Regel mehr für die Freischaltung erstellt werden
- Überarbeitet QoS Management
HTTP PROXY
- Deaktivieren der transparenten Funktion oder stoppen des Dienstes erwirkt auch Deaktivierung des Redirect (gilt auch für PoP3 Proxy)
- Virenscanning, Auswahl zwischen Comtouch und Clamav Virenscanner
- SSL Interception
- Webfilter/Contentfilter (kein Dansguardian mehr, alles über Squid und unserem Contentfilter)
- Dedizierte Konfiguration von Nutzer oder/und Netzwerken
- AdBlocking zentral möglich
REVERSE PROXY
- Reverse Proxy für http/https
- Loadbalacing auf interne Server
- Bandbreitenmanagment
- diverse Filtermöglichkeiten
SPAM FILTER
- kein Bayes Filter mehr, nur noch über Comtouch Spamfilter und unserem Contentfilter
(Beispiel: pornografische Links)
NAMESERVER
- Erstellung eigener Zone Files über die Oberfläche (Domain als auch Reverse)
DIENSTE STATUS
- Zeigt nicht nur Stopp/Gestartet sondern auf Fehler
IPSEC
- Unterstützung von XAuth (interessant für iPhone und VPN Clients die das Unterstützen)
OPEN VPN
- Site-to-Site Konfiguration nun auch möglich
CLIENTLESS VPN
- VPN über den Browser für RDP und VNC ohne zusätzliche Plugins (moderner Browser erforderlich)
USERMANAGEMENT
- Gruppenmanagement
- Integration in Verzeichnisdienste
CLI
- Komplett neue CLI Syntax
- CLI auch über die Weboberfläche möglich
UPDATE
- Beim Online-Update und Update über Speichermedium ist es möglich wieder auf die vorherige Version zurück
zu gehen
Securepoint UTM v10
Securepoint UTM v10