Securepoint UTM Changelog

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche

Build 11.7.4

Release Date: 07.09.2017

  • Security Bugfix: Korrigiert Sicherheitslücken im Zusammenhang mit dem Linux-Kernel (CVE-2017-7533, CVE-2017-8890, CVE-2017-1000364, CVE-2017-1000365, CVE-2017-1000370, CVE-2017-1000371).
  • Feature: SSL VPN Server unterstützt nun auch Zertifikatsketten.
  • Maintenance: Erweiterung der Firmware für Broadcom BCM5709 Chipsätze.
  • Maintenance: Treiber-Aktualisierung für Intel Netzwerkkarten Karten.
  • Bugfix: Behebt einen Fehler, der dazu führt, das LTE Modems nicht deaktiviert werden konnten.
  • Bugfix: Behebt einen Fehler im Multipathrouting, wenn das Remote Gateway bei mehreren Schnittstellen auf die gleiche IP Adresse zeigt.
  • Bugfix: Mailconnector konnte auch ohne Konfiguration gestartet werden.
  • Bugfix: Im Webinterface wurde das Log im RAW-Format nicht korrekt exportiert.
  • Bugfix: Behebt einen Fehler im Clientless VPN VNC Modus, wenn das VNC Passwort nicht in der Konfiguration hinterlegt wurde.
  • Bugfix: Behebt einen Fehler im Treiber der 10GBit Erweiterungskarten, der dazu führte, das die Link Detection falsche Werte lieferte, wenn kein Kabel angeschlossen ist.
  • Bugfix: Korrigiert einen Fehler in der URL Erkennung im Mailfilter. Filterregeln auf URLs in E-Mails funktionierten dadurch unter Umständen nicht.

Build 11.7.3.1

Release Date: 01.08.2017

  • Bugfix: Korrigiert einen Fehler im Multipath-Routing mit Ethernet-Interfaces (Known Issue Version 11.7.3).
  • Bugfix: Behebt einen Fehler im SNMP-Dienst, wodurch möglicherweise nicht die korrekte Anzahl der E-Mails in der Mail-Queue angezeigt wurden.
  • Bugfix: Behebt einen Fehler, der dazu führte das die serielle Konsole nicht gestartet wurde.
  • Bugfix: In der Userverwaltung des Webinterfaces konnten keinen neuen OTP Keys generiert werden.

Build 11.7.3

Release Date: 18.07.2017

  • Security Bugfix: Schließt eine DDOS Verwundbarkeit im IPSec Dienst (CVE-2017-9022,CVE-2017-9023).
  • Feature: Im Userinterface/Spamfilter wird angezeigt, welches Attachment bereits heruntergeladen wurde.
  • Feature: Im Userinterface/Spamfilter wird angezeigt, welche E-Mail aus der Quarantäne bereits gesendet wurde.
  • Feature: Diverse SNMP Erweiterungen Securepoint UTM spezifischer Funktionen (MIBs im RSP).
  • Feature: HTTP Proxy unterstützt nun SMP Skalierung.
  • Maintenance: Im IPSec Log wird jetzt immer der genau Verbindungsname angezeigt.
  • Maintenance: Darstellung des Captive Portals angepasst.
  • Bugfix: Fehler beim Entladen von Kernel-Modulen behoben.
  • Bugfix: Behebt ein Problem beim Update, das durch leere Templates verursacht wird.
  • Bugfix: Behebt einen Fehler bei dem der DHCP Dienst möglicherweise nicht auf allen Netzwerk-Interfaces lauscht.
  • Bugfix: Behebt einen Fehler im Multipathrouting, wenn das Remote Gateway bei mehreren Schnittstellen auf die gleiche IP Adresse zeigt.
  • Bugfix: Bei Fallback Konfigurationen wurde der ping-Check nicht ausgeführt.
  • Bugfix: Spam-Reports an Nutzer mit Leerzeichen im Benutzernamen wurden nicht versendet.
  • Bugfix: Fehler bei der Bindung von SSL VPN und L2TP Verbindungen an spezifische IP Adressen behoben.
  • Bugfix: Die Anordnung der Widgets im Dashboard wurde unter Umständen nicht permanent gespeichert.


Known Issue:

  • In Multipath-Szenarien über Ethernet-Schnittstellen, ist es erforderlich dass das Standard-Gateway in den Netzwerkeinstellungen der Ethernet-Karte als Route-Hint zusätzlich hinterlegt wird.
  • Bei Änderungen in den Servereinstellungen kann es dazu kommen, dass unter den SNMP Einstellungen ein Eintrag für "SNMP Pakete aus folgenden Netzwerken zulassen" benötigt wird. Wenn SNMP nicht in Verwendung war, muss nach einem Update auf die 11.7.3 SNMP v2c deaktiviert werden.

Build 11.7.2.2

Release Date: 29.06.2017

  • Security Bugfix: Behebt vier Fehler im SSL VPN Dienst (CVE-2017-7520, CVE-2017-7521, CVE-2017-7522, CVE-2017-7508).
  • Maintenance: Verbesserung der Performance bei Konfigurationen mit vielen X.509 Zertifikaten (>500).
  • Bugfix: Benutzer mit Sonderzeichen im Usernamen konnten sich nicht am Webinterface anmelden.
  • Bugfix: Behebt einen Fehler im Netzwerkdienst.

Build 11.7.2.1

Release Date: 19.06.2017

  • Security Bugfix: Behebt zwei Fehler im SSL VPN Dienst (CVE-2017-7478, CVE-2017-7479).
  • Maintenance: Verbesserung des Aufbaus von IPSec Verbindungen mit dynamischen Endpunkten beim Neustart der UTM.
  • Bugfix: Behebt einen Fehler beim Erstellen von IPSec Verbindungen, wenn das Gateway sich nicht im gleichen Subnetz des lokalen Interfaces befindet.
  • Bugfix: Behebt einen Fehler bei der Authentifizierung von LTE Verbindungen.
  • Bugfix: Behebt einen Fehler im Portforwarding, der beim Wechsel der IP Adresse nach einer Zwangstrennung von Point-to-Point Verbindungen entstehen kann.
  • Bugfix: Behebt einen Fehler im Session-Handling von Clientless-VPN Verbindungen, so das möglicherweise die Verbindung vorzeitig beendet wird.

Build 11.7.2

Release Date: 06.06.2017

  • Feature: In den Verschlüsselungseinstellungen für das Mailrelay kann nun die verschlüsselte Kommunikation erzwungen werden.
  • Maintenance: Entfernung von obsoleten Funktionen aus der IPSec Konfiguration im Webinterface.
  • Maintenance: Erweiterung der Security-Headers für den Webserver der UTM.
  • Maintenance: SSLv3 wird nicht mehr unterstützt (vorher schon standardmässig deaktiviert) und wurde aus den Verschlüsselungseinstellungen entfernt.
  • Maintenance: Der CLI Befehl mail archive get zeigt zusätzlich die Message-ID von E-Mails an.
  • Maintenance: Anzahl der File-Deskriptoren für den RPRoxy einstellbar.
  • Bugfix: Fehler behoben, das sich Anwender aus dem Active-Directory mit Sonderzeichen im Usernamen, nach einem Update auf 11.7 nicht mehr einloggen können.
  • Bugfix: Fehler im SNMP Dienst nach Update auf 11.7 behoben, der dazu führte das Netzwerk-Interfaces nicht mehr angezeigt wurden.
  • Bugfix: Fehler im L2TP Dienst nach Update auf 11.7 behoben, der dazu führte das sich iPhone Devices nicht mehr einloggen konnten.
  • Bugfix: Fehler im Mailrelay nach Update auf 11.7 behoben, der dazu führte das SPF Einträge im Greylisting nicht mehr ausgewertet wurden.
  • Bugfix: Fehler im Mailrelay nach Update auf 11.7 behoben, der dazu führte das sich Anwender nicht mehr am Mailrelay authentifizieren konnten.
  • Bugfix: Anzeigenfehler im Webinterface nach Update auf 11.7 behoben, der dazu führte das Remote SSL VPN Verbindungen nicht mehr angezeigt wurden.

Build 11.7.1 Reseller Preview

Release Date: 18.04.2017

  • Feature: Hashverfahren in der Datenverbindung von SSL VPN einstellbar (Wiki).
  • Feature: Erweiterte Filterung auf Dateinamen im Mailfilter.
  • Maintenance: Obsolete IPSec Einstellungen entfernt.
  • Bugfix: Webfilter Log-Einträge bei Benutzern mit Leerzeichen korrigiert.
  • Bugfix: Fehler in den Ignore Einstellung beim IPSec Dienst behoben.
  • Bugfix: Vmalloc Speicher des Kernels angepasst.
  • Bugfix: Fehler bei der Verwendung von eckigen Klammern in den Portfilter Gruppen behoben.
  • Bugfix: HTTP Proxy Statistiken wurden nicht erstellt.
  • Bugfix: Bei IPv6 Verbindungen über einen Tunnelprovider wurde die IPv6 Standard-Route nicht gesetzt, wenn das darunterlegende Interface ein wanX Interface ist.
  • Bugfix: Der lokale Port von SSL VPN Client Verbindungen wird nun ignoriert.
  • Bugfix: Cluster Synchronisation ist nun auch möglich wenn die SSH Sicherheitseinstellungen auf hoch oder sehr hoch stehen.


Hinweise:

  • Der IPv6 Tunnelprovider SIxXS wurde aus dem Wizard entfernt. Der Provider stellt seinen Dienst zum 6. Juni 2017 ein.

Build 11.7.0 Reseller Preview

Release Date: 28.03.2017

  • Feature: Captive Portal Funktion im HTTP Proxy (Wiki).
  • Feature: Dynamisches Netzwerkobjekt für Captive Portal User im Portfilter (Wiki).
  • Feature: LTE wird bei entsprechender Hardware unterstützt (Wiki).
  • Feature: Automatische Kanalsuche für WLAN.
  • Feature: DNS Rebinding prevention für den lokalen DNS Dienst.
  • Feature: Dynamic DNS Hostnamen können als Manager-Clients ohne Einschränkung verwendet werden.
  • Feature: DNS Server für Active-Directory Domains werden automatisch im DNS Server der UTM hinzugefügt.
  • Feature: Mailrelay der UTM kann nun auf Reverse-Lookups prüfen.
  • Feature: Im Spam-Report wird der Benutzername und die E-Mail-Adresse angegeben.
  • Feature: Weitere Zustellbedienungen für den Spam-Report einstellbar.
  • Feature: Alternativer Hostname im Spam-Report für das Userinterface einstellbar.
  • Feature: Neuer Assistent für das Erstellen von Bridges in den Netzwerkeinstellungen.
  • Feature: SNMP Version 3 wird unterstützt (Wiki).
  • Feature: IPv6 Unterstützung für SSL VPN.
  • Feature: Neuer IPSec Dienst.
  • Feature: IPSec ECP-DH Gruppen können konfiguriert werden.
  • Feature: Webinterface ist nun responsive.
  • Feature: Cockpit des administrativen Interfaces passt sich der Bildschirmauflösung an.
  • Feature: Anzahl der Portlets nicht mehr auf 6 pro Seite beschränkt.
  • Feature: Anzahl der Cockpit Seiten hat keine Beschränkungen mehr.
  • Feature: Protokolle für Syslog Server einstellbar.
  • Feature: HTTP Proxy unterstützt SNI (Server Name Indication) für TLS.
  • Feature: Im Webfilter des HTTP Proxy können mehrere Zeiten pro Regelsatz angelegt werden.
  • Feature: Anzahl der Portfilter Regeln die das System (je nach Leistung) verwalten kann, wurde verdoppelt.
  • Feature: Keine Begrenzungen mehr von virtuellen IP Adressen im Cluster Betrieb.
  • Feature: Konfigurations-Datenbank unterstützt nun Secure-Delete.
  • Maintenance: UMTS Unterstützung überarbeitet (Wiki).
  • Maintenance: Zertifikatsspeicher im administrativen Webinterface beschleunigt.
  • Maintenance: Verbesserte Hyper-V Unterstützung.
  • Maintenance: Überarbeitung Installation Wizard.
  • Maintenance: Überarbeitung SSL VPN Wizard.
  • Maintenance: Überarbeitung IPSec Wizard.
  • Maintenance: Live Log im administrativen Webinterface überarbeitet.
  • Maintenance: Darstellung des Spamfilters im Userinterface überarbeitet.
  • Maintenance: Verschlüsselungsalgorithmus für die Daten Verbindung bei SSL VPN einstellbar (Wiki).
  • Maintenance: Darstellung bei vielen E-Mails im User-Interface beschleunigt.
  • Maintenance: Filtereinstellung im User-Interface für E-Mails verbessert.
  • Maintenance: HTTP Proxy SSL Interception verwendet für die Zertifikate SHA256.
  • Maintenance: Point-To-Point Schnittstellen heißen in den Netzwerkeinstellung nicht mehr pppX sondern wanX.
  • Maintenance: GSM Schnittstellen heißen in den Netzwerkeinstellungen nicht mehr pppX sondern wwanX.
  • Maintenance: AES Beschleunigung bei INTEL basierten Appliances verbessert.
  • Maintenance: Standard Wert für das Anlegen von neuen Zertifikaten ist nun 2048 Bit für das RSA Schlüsselpaar.
  • Maintenance: In Hyper-V Umgebungen können nun Online Backups durchgeführt werden.
  • Bugfix: Passwort-Änderung bei aktivierten OTP im UserInterface funktionieren nun.


Hinweise:

  • Die UTM Version 11.7 wird die letzte Version sein die noch das unsichere VPN Protokoll PPTP unterstützt.
  • Der VoIP Proxy ist ab Version 11.7 nicht mehr vorhanden.
  • Der Amdosoft B4 Client ist ab Version 11.7 nicht mehr vorhanden.

Build 11.6.12

Release Date: 02.03.2017

  • Maintenance: Neuer Treiber für Intel® 40 Gigabit Ethernet Adapter.
  • Maintenance: Neue Bilder für das administrative Webinterface für RC300/RC400/RC700.



Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.12 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.11

Release Date: 20.12.2016

  • Security Bugfix: Cross-Site-Scripting Fehler im Live-Log der Admin-UI behoben.
  • Security Bugfix: Lokale Privileg-Eskalation im Linux Kernel behoben (CVE-2016-5195).
  • Bugfix: Fehlende Anzeige der Absender- und Empfänger-E-Mail Adresse des Mailrelays im Livelog der Admin-UI behoben.
  • Bugfix: Fehler, das keine E-Mails mehr angenommen werden wenn TLSv1 im Mailrelay deaktiviert wurde, behoben.
  • Bugfix: Im Virusscan-Modul des HTTP Proxy wurde ein Fehler behoben, der dazu führte, das der Download von Dateien bei 2 GByte abbricht, wenn die Größe der Datei nicht ermittelt werden kann.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.11 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.10

Release Date: 07.11.2016

  • Security Bugfix: Fehler beim Interpretieren von HTML-Anweisungen innerhalb von Paket-Filter-Objekten behoben.
  • Bugfix: Zugewiesene Benutzergruppen können im WebInterface nicht vollständig entfernt werden.
  • Bugfix: Der Mailarchiv-Daemon ignoriert unter bestimmten Bedingungen die Limits für das Löschen von E-Mails aus dem Archiv.
  • Bugfix: Fehler im CLI Befehl zum Setzen von Kernel Parametern behoben.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.10 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.9

Release Date: 05.08.2016

  • Bugfix: Behebt einen Fehler im DHCP Client, wenn das Standard-Gateway sich nicht im gleichen Netz befindet, wie die zugewiesene IP Adresse.
  • Bugfix: Behebt einen Fehler im Mailscanner der dazu führen konnte, das E-Mails nicht mehr angenommen werden.
  • Maintenance: Der virtuelle Adressraum des Kernels wird nun bei System ab 4 GB RAM bei Neuinstallationen automatisch erhöht.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.9 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.8

Release Date: 12.07.2016

  • Bugfix: Passwort-Änderung im User-Interface bei aktivierten OTP nun möglich.
  • Bugfix: HTTP Proxy Fehler assertion failed store.cc:1866: isEmpty() behoben.
  • Bugfix: Fehler beim Download der SSL VPN Konfiguration mit sehr langen Hostnamen behoben.
  • Bugfix: Der Neustart des WAP Dienstes führte unter Umständen dazu das bei einer zweiten vorhandnen Bridge, das WLAN Interface nicht mehr der Bridge hinzugefügt wurde.
  • Bugfix: Logfiles für die Erstellung der Digest-E-Mail-Reports konnten nicht geschrieben werden (betrifft nur Version 11.6.7).
  • Maintenance: Clamav Scan-Engine aktualisiert.
  • Maintenance: Libarchiv Library aktualisiert.
  • Feature: SPF im Greylisting des Mailrelay konfigurierbar.
  • Feature: E-Mail Statistiken im Admin- und User-Interface.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.8 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.7

Release Date: 07.06.2016

  • Bugfix: Problem mit dem voreingestellten Zertifikat beim Mailrelay gelöst.
  • Bugfix: Hyper-V zeigt nun den Hostnamen der UTM korrekt an.
  • Bugfix: Fehler „assertion failed“ im HTTP Proxy behoben.
  • Bugfix: Fehler beim Verarbeiten von Mime-Parts im Mailfilter behoben.
  • Bugfix: Fehler in der Zwangstrennung von PPP Verbindungen mit automatischen QoS behoben.
  • Maintenance: Die spdns.de Update Server zeigen nun auf spdyn.de.
  • Maintenance: Clientless VPN Timeout im User-Interface angepasst.
  • Feature: Die Virtual Router ID ist nun bei Cluster-Konfigurationen einstellbar.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.7 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.6

Release Date: 06.05.2016

  • Security Bugfix: Aktualisierung SSL Library, OpenSSL Version 1.0.1t (CVE-2016-2108, CVE-2016-2107, CVE-2016-2105, CVE-2016-2106, CVE-2016-2109, CVE-2016-2176).
  • Security Bugfix: Es wurden mehrere Fehler in einer Anwendung behoben, von denen einer zu einer Remote Code Execution führen konnte. Weitere Details werden am 30.05.2016 veröffentlich. Es wird allen Kunden eine Aktualisierung empfohlen. 1
  • Bugfix: Anpassungen im Mailscanner bei der Verarbeitung von E-Mails.
1)Securepoint GmbH lässt präventiv in regelmässigen Abständen Security Audits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de).

Update 30.05.2016:

Im Rahmen eines von der Securepoint GmbH beauftragtem Penetration-Tests wurde von der Firma RedTeam Pentesting GmbH ein Bufferoverflow in einer Opensource-Komponente (Clientless VPN) der UTM entdeckt (rt-sa-2016-004). Durch Ausnutzung dieser Schwachstelle ist es einem Angreifer möglich, beliebigen Code auszuführen, wenn das User-Interface (11.6 - 11.6.5) bzw. die Clientless VPN Ports (11.0 - 11.5.4) erreichbar sind. Es wird deswegen dringend empfohlen das Update 11.6.6 einzuspielen.

Sollte ein Update nicht zeitnah möglich sein, kann die Ausnutzung der Schwachstelle mit folgenden Einstellungen verhindert werden:

  • Version 11.6 - 11.6.5: Deaktivierung des User-Interfaces. Die Einstellung hierfür ist unter Firewall/Implizite Regeln/VPN zu finden. Die Checkbox (User Interface Portal) darf nicht gesetzt sein.
  • Version 11.0 - 11.5.5: Deaktivierung der Clientless VPN Ports für RDP und VNC. Die Einstellung hierfür ist unter Firewall/Implizite Regeln/VPN zu finden. Die beiden Checkboxen (Clientless VPN VNC, Clientless VPN RDP) dürfen nicht gesetzt sein.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.6 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.5

Release Date: 11.04.2016

  • Maintenance: Clamav Scan-Engine aktualisiert.
  • Maintenance: Kernel Update für USB3.
  • Bugfix: Behebt einen möglichen Datenbank Fehler für den Reverse Proxy.
  • Bugfix: Behebt einen Segfault in der CLI bei falscher Parameter-Übergabe.
  • Bugfix: Behebt einen Fehler im Intel Netzwerkkarten-Treiber der zu erhöhter Load führt.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.5 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.4

Release Date: 29.03.2016

  • Maintenance: Aktualisierung SSL Library, OpenSSL Version 1.0.1s.
  • Maintenance: Beim Anlegen einer neuen SSL VPN Verbindung ist nun standardmäßig Multihome aktiviert.
  • Maintenance: Verbesserungen in der Erkennung von Attachments im der Mailfilter Komponente.
  • Bugfix: Behebt einen Fehler im Mailconnector der unter Umständen zum Absturz des Dienstes führen kann (getaddrinfo() Fehler).
  • Bugfix: Behebt einen Fehler im Webinterface bei der Bearbeitung von Mailfilter-Regeln mit MIME-Typen.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.4 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.3

Release Date: 17.02.2016

  • Security Bugfix: glibc aktualisiert (CVE-2015-7547).
  • Maintenance: Nameserver aktualisiert auf Version 9.10.3-P3.
  • Maintenance: DHCP Server aktualisiert auf Version 4.3.3-P1.
  • Maintenance: HTTP Proxy aktualisiert auf Version 3.4.14.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.3 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.2

Release Date: 04.02.2016

  • Maintenance: Aktualisierung SSH Dienst, Openssh Version 7.1p2 (CVE-2016-0777, CVE-2016-0778).
  • Maintenance: Aktualisierung SSL Library, OpenSSL Version 1.0.1r (CVE-2015-3197).
  • Maintenance: Aktualisierung Linux Kernel (CVE-2016-0728).
  • Maintenance: Treiber für Intel Netzwerkkarten aktualisiert.
  • Maintenance: Startverhalten des SSL VPN Dienst verbessert.
  • Maintenance: Startverhalten des IPSec Dienst verbessert.
  • Maintenance: Fehlerbehandlung im Mailfilter verbessert.
  • Bugfix: Behebt einen Fehler des HTTP Proxys im transparenten Modus für HTTPS, wenn Authentifizierung im Standard-Proxy-Modus aktiviert ist.
  • Bugfix: CSS Fehler im E-Mail Spamreport für Outlook korrigiert.
  • Bugfix: Fehler im Dynamic-DNS-Dienst im Zusammenhang mit Multipath-Routing behoben.
  • Bugfix: Fehler beim Blocken von Webradio-Diensten behoben.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.2 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6.1

Release Date: 18.12.2015

  • Maintenance: Die Logout Leiste im UserInterface wird beim Starten von Clientless VPN Verbindungen nun ausgeblendet.
  • Maintenance: Verbesserungen beim Mailconnecter für POP3 und IMAP.
  • Maintenance: OpenSSL aktualisiert.
  • Maintenance: Clamav Scan-Engine aktualisiert.
  • Maintenance: Verbesserungen beim Aufbau von IPSec Verbindungen nach dem Neustart der UTM.
  • Bugfix: Im UserInterface konnten gefilterte Anhänge aus E-Mails nicht heruntergeladen werden.
  • Bugfix: Bei Clientless VPN wurde die Active-Directory Domain beim Bearbeiten nicht angezeigt.
  • Bugfix: Neue Einträge im Greylisting des SMTP Gateway wurden nicht sofort übernommen.
  • Bugfix: Die Quell-Portrange von Diensten wurde beim Bearbeiten nicht korrekt ausgelesen.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6.1 (betrifft nur Installationen <= 11.5.5) werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.6

Release Date: 01.12.2015

  • Feature: Die Konfiguration kann nun automatisch, zeitgesteuert in die Cloud gesichert werden.
  • Feature: Die Zonen beim Erstellen von Netzwerkobjekten (Spoofing Schutz) werden automatisch ermittelt.
  • Feature: Paketfilter Netmap Funktion unterstützt nun auch Dienstgruppen.
  • Feature: Detaillierte Verschlüsselungseinstellungen für Webserver, Reverse Proxy, SSL VPN, Mailrelay und SSH Dienst (Wiki).
  • Feature: Erweiterte Einstellungen des SSH Dienstes (Wiki).
  • Feature: Generierung von maschinenspezifischen Diffie-Hellman Parameter Keys (1024, 24048 und 4096 Bit).
  • Feature: SSH Keys können können über das administrative Webinterface neu generiert werden.
  • Feature: Das Zertifikat für den Webserver kann über das administrative Webinterface neu generiert werden.
  • Feature: Die QoS-Funktionen der UTM wurden um einen automatischen Modus erweitert (Wiki).
  • Feature: Der Dynamic-DNS-Client der UTM unterstützt nun die Aktualisierung hinter NAT-Routern.
  • Feature: Clientless VPN verwendet nur noch den Userinterface Port. Websocket Ports für VNC und RDP werden über diesen getunnelt.
  • Feature: Die Anzahl der maximal unterstützen CPU-Kerne wurde auf 64 erhöht.
  • Feature: Die Zertifikatsverwaltung unterstützt den Import von Zertifikaten mit gleichem Common Name.
  • Feature: Die Zertifikatsverwaltung unterstützt das Wiederherstellen von widerrufenen Zertifikaten.
  • Feature: Automatisiertes Generieren von Preshard-Keys (IPSec) und WLAN Schlüsseln.
  • Maintenance: Das Webfilter-Konfigurationmenü wurde überarbeitet und aus dem Konfigurationsmenü des HTTP-Proxy ausgegliedert (Wiki).
  • Maintenance: Verbessertes Cache Management des Content-Filter.
  • Maintenance: Beim Versand des Spam-Reports wird nun die Globale E-Mail Adresse als Absender-Adresse verwendet.
  • Maintenance: Globaler Ansprechpartner und E-Mail Adresse werden im Einrichtungs-Wizard abgefragt.
  • Maintenance: Die Version des OpenSSH Servers wurde aktualisiert.
  • Maintenance: Die nicht mehr benötigten Implied Rules für Clientless VPN (Websocket Ports) wurden entfernt.
  • Maintenance: Die IPv6 Funktionalität des Nameservers ist deaktiviertbar.
  • Maintenance: Der Dynamic-DNS-Client liefert nun mehr Loginformationen.
  • Maintenance: Allgemeine Performance Verbesserungen.
  • Bugfix: Ein Memory Leak in der Funktion SSL-Interception des HTTP Proxy wurde behoben.
  • Bugfix: Bei SSL VPN Verbindungen wurden beim Ändern der X.509 Zertifikate die Verbindung nicht aktualisiert.
  • Bugfix: Bei Multipathrouting und Ausfall einer Leitung, wurde unter Umständen keine Standardroute mehr gesetzt.
  • Bugfix: Fallback Konfigurationen mit DHCP Client als primäres Interface, hatten unter Umständen beim Neustart keine Standardroute gesetzt.
  • Bugfix: Der IPv6 Router Advertisement Daemon wird nun vom System überwacht und bei Bedarf neu gestartet.
  • Bugfix: Die Kompatibilität mit dem Microsoft Edge Browser wurde verbessert.
  • Bugfix: Die Mailrelay Konfigurationen konnten zu einem verzögerten Start des Systems führen.
  • Bugfix: Anpassung der Authentifizierung-Mechanismen des Mailrelay.
  • Bugfix: Ein Fehler in der E-Mail-Validierung des SMTP Relay mit LDAP wurde behoben, wenn im Relaying der Domain das Feld „To“ ausgewählt ist.
  • Bugfix: Kleinere Anpassungen im Mailscanner bei der Verarbeitung von E-Mails.
  • Bugfix: Verbesserungen des Authentifizierungs-Dienstes für Active-Directory Anbindungen.
  • Bugfix: CSS des administrativen Webinterface angepasst, das den Firefox Browser ab Version 40 zum abstürzen bringt, wenn man den Einrichtungs-Wizard aufruft.


Known Issue:

Hinweis zum dem Diffie-Hellman Parameter (DH Key Size):

Nach dem Update auf die Version 11.6 werden vom Backend drei Diffie-Hellman Parameter Schlüssel generiert. Die Schlüssel haben eine Länge von 1024, 2048 und 4096 Bit. Das kann je nach Entropie und verwendetem Prozessor zwischen 3 Stunden und 2 Tagen dauern. Die UTM hat in dieser Zeit eine etwas höhere Load, die aber den normalen Betrieb nicht beeinflusst (die Prozessor-Auslastung wird für das Generieren begrenzt).

Build 11.5.5

Release Date: 09.09.2015

  • Bugfix: Behebt ein Problem in der Authentifizierung wenn der Benutzername mit dem Namen der Active Directory Domain übereinstimmt.
  • Bugfix: In einer Cluster Konfiguration wird nun der SSL VPN Dienst auf der Spare nicht gestartet wenn er auf deaktiviert steht.
  • Bugfix: Behebt ein Problem bei der Konfiguration von UMTS Schnittstellen ohne Benutzername und Passwort.
  • Maintenance: Mailrelay als Client unterstützt nun die Authentifizierung-Methode LOGIN.
  • Maintenance: Optimierung bei der Konvertierung von Konfigurationsdatenbanken bei einem Upgrade.


Known Issue:

Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.

Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:

Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen. Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an.

Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter.

Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216

Build 11.5.4

Release Date: 24.08.2015

  • Bugfix: Dynamic DNS in den Interface Einstellungen deaktivierbar.
  • Bugfix: Fehler beim Ausfall einer Leitung bei Multipath-Konfiguration behoben.
  • Bugfix: Netzwerkmasken-Fehler beim Anlegen einer Site-To-Site SSL-VPN Client Verbindung behoben.
  • Bugfix: Darstellungsfehler bei Cluster-Wechsel behoben.
  • Bugfix: Fehlende Postmaster E-Mail-Adresse im Mailconnector behoben.
  • Maintenance: Variables Paging in den LDAP Einstellungen.
  • Maintenance: Die Pattern Dateien des Cyren Virenscanners werden im Fehlerfall automatisch zurückgesetzt.
  • Maintenance: Unterschiedliche E-Mail Einstellungsgrößen bei Mailconnector und Mailrelay werden angezeigt.
  • Maintenance: Lizenz-Änderungen im Webfilter sind nun auch ohne Neustart des Systems aktiv.
  • Feature: DHCP Server Einstellungen werden im Cluster-Betrieb synchronisiert.


Known Issue:

Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.

Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:

Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen. Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an.

Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter.

Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216

Build 11.5.3.1

Release Date: 07.08.2015

  • Bugfix: Beim Update von Version <11.5 wurden die Berechtigungen für das Maliarchiv nicht korrekt gesetzt.


Known Issue:

Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.

Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:

Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen. Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an.

Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter.

Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216

Build 11.5.3

Release Date: 05.08.2015

  • Security Bugfix: Nameserver aktualisiert (CVE-2015-5477).
  • Bugfix: Fehlende Markierungen über den Status der E-Mails werden nun im Mailscanner gesetzt.
  • Bugfix: Durch falsche Berechtigungen konnte es passieren, das E-Mails im Archiv nicht gelöscht wurden.
  • Bugfix: Spam-Reports an Benutzer mit Leerzeichen im Benutzernamen (AD/LDAP) wurden nicht verschickt.
  • Bugfix: POP3/IMAP Konten mit Sonderzeichen im Benutzernamen/Passwort konnten vom Mailconnector nicht abgearbeitet werden.
  • Maintenance: Der Mailscanner erlaubt nun nicht mehr das Speichern von leeren Werten.
  • Maintenance: Das Aktualisieren der lokalen Nutzerdatenbank wurde beschleunigt.
  • Maintenance: Zertifikate ohne x509-Extensions können nun verarbeitet werden.


Known Issue:

Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.

Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:

Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen. Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an.

Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter.

Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216

Build 11.5.2

Release Date: 13.07.2015

  • Security Bugfix: OpenSSL aktualisiert (CVE-2015-1793).
  • Bugfix: Behebt einen Fehler beim Auslesen des Active Directorys wenn mehr als 64 Gruppen vorhanden sind.
  • Bugfix: Behebt einen Fehler im Authentifizierungs-Dienst, wenn die Active Directory Anmeldung in kurzen Zeitabständen, mehrmals deaktiviert und wieder aktiviert wird.
  • Bugfix: Fehler im Authentifizierung-Dienst behoben bei Active Directory Accounts ohne Username.
  • Bugfix: Korrigiert einen Fehler mit Netzwerk-Dienst wenn Paketfilter Regeln zwischen Point-To-Point Roadwarrior Verbindungen (PPTP/L2TP) konfiguriert sind.
  • Maintenance: Bei Umstellung auf OTP Authentifizierung für IPSec und SSL VPN, steht die Funktion nun sofort zu Verfügung, ohne das der entsprechende Dienst neu gestartet werden muss.


Known Issue:

Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.

Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:

Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen. Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an.

Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter.

Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216

Build 11.5.1

Release Date: 24.06.2015

  • Bugfix: Falsche Netzwerkmaske bei lokalem User mit statischer IP Adresse für SSL-VPN behoben.
  • Bugfix: Fehler beim Paket-Filter editieren mit dem Firefox Browser behoben.
  • Bugfix: Darstellungs-Fehler im Webinterface unter Portfilter/Diensten und Portfilter/Netzwerk-Objekten mit dem SOC-Client behoben.
  • Bugfix: SIP-Proxy Konfigurationen wurden nicht geschrieben.
  • Bugfix: Fehler bei der LDAP E-Mail-Validierung des Mail-Relay für ausgehende Nachrichten behoben.
  • Bugfix: Hohe CPU-Auslastung bei Verwendung des HTTP-Proxy mit NTLM Authentifizierung behoben.
  • Bugfix: Fehler bei Cluster-Konfiguration und deaktivierten Interfaces behoben.
  • Bugfix: Doppelte Clientless-VPN Verbindungen werden nun im Userinterface ausgefiltert wenn mehrere Gruppen mit Clientless-VPN Verbindungen einem User zugeordnet sind.
  • Maintenance: Verhalten des Authentifizierung-Dienstes bei fehlerhafter Active-Directory Konfiguration verbessert.
  • Maintenance: Diffie-Hellman Parameter erhöht für die Erstellung neuer SSL-VPN Verbindungen.
  • Maintenance: LDAP-Filtereinstellungen bei der Active-Directory Konvertierung verbessert.


Hinweis: Das Update wird im ersten Schritt nur an NFR-Lizenzen ausgeliefert. Die Verteilung erfolgt gestaffelt über einen Zeitraum von 24 Stunden.


Known Issue:

Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.

Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:

  • Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen.
  • Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an.


Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter.

Bestehende SSL-VPN Verbindungen müssen an den höheren Diffie-Hellman Parameter angepasst werden. Eine Anleitung finden Sie im Forum unter folgenden Link: http://support.securepoint.de/viewtopic.php?f=3&t=6216

Build 11.5

Release Date: 08.06.2015

  • Security Bugfix: SSLv2 und SSLv3 im Reverse-Proxy und Webserver deaktiviert und angebotene Cipher-Liste aktualisiert.
  • Security Bugfix: OpenSSL aktualisiert (CVE-2015-0286, CVE-2015-0287, CVE-2015-0289, CVE-2015-0293, CVE-2015-0209, CVE-2015-0288).
  • Security Bugfix: NetSNMP aktualisiert (CVE-2014-2284).
  • Bugfix: DHCP Client unterstützt nun auch Gateways die sich nicht im gleichen Subnetz befinden.
  • Bugfix: Verbesserung der Ladezeiten des Portfilters.
  • Bugfix: Webfilter Regelsätze mit mehr als 20 Objekten funktionieren nun.
  • Bugfix: Manager IPv6 Adressen für die Administration wurden nicht aktiviert.
  • Bugfix: Aktualisierungsproblem bei Zwangstrennung mit IPv6 Tunnelbrokern behoben.
  • Bugfix: Problem in IPv6 DHCP-Server bei Vergabe von statischen IP Adressen behoben.
  • Bugfix: Ablaufende Sessions bei Clientless-VPN behoben.
  • Bugfix: Fehler in der Farbdarstellung bei Clientless-VPN behoben.
  • Bugfix: Fehlender Krypto-Algorithmus Serpent für IPSec Quick-Mode implementiert.
  • Bugfix: Im SMTP-Gateway wurden die Ausnahmen für Greeting-Pause, Verbindungslimit und Rate-Kontrolle nicht korrekt gespeichert.
  • Bugfix: Im SMTP-Gateway wurden die Einträge für Domain-Mapping nicht korrekt gelöscht.
  • Bugfix: Das Live-Log im Admin-Interface brach nach zirka 15 Minuten im geöffneten Zustand ab.
  • Bugfix: Fehler in QoS-Filtern behoben.
  • Feature: HTTPS SSL-Interception im transparenten Proxy-Modus (Wiki).
  • Feature: Neue Netmap Funktion im Paketfilter (Wiki).
  • Feature: Mail-Connector zum Abholen von E-Mails via POP3(S)/IMAP(S) und Weiterleiten per SMTP (STARTTLS) (Wiki).
  • Feature: Neuer Mailfilter für transparent POP3 Proxy, Mail-Connector und SMTP Gateway (Wiki).
  • Feature: Überarbeitete Active Directory/LDAP Integration.
  • Feature: Digest-E-Mail Report (Spamreport).
  • Feature: Neues User-Interface.
  • Feature: Neuer Regel-Wizard im Admin-Interface.
  • Feature: Die Handhabung der Netzwerkobjekte und Dienste im Portfilter wurden überarbeitet.
  • Feature: Neuer Interface-Wizard im Admin-Interface generiert automatisch Regeln für den Portfilter.
  • Feature: Neuer SSL-VPN-Wizard für Site-To-Site Verbindungen.
  • Feature: Überarbeiteter Live-Log im Admin-Interface.
  • Feature: Passwort-Sicherheitsprüfung im Admin-Interface.
  • Feature: Neue Portlets im Admin-Interface für: CPU-Temperatur, Festplatte, SSL-VPN.
  • Feature: Portlets nun skalierbar.
  • Feature: Die Graphen in den Portlets zeigen nun nicht mehr die letzten 3 Monate, sondern das gesamte vergangene Jahr.
  • Feature: Neue Online-Hilfe im Admin-Interface.
  • Feature: Rundgang mit Kurzbeschreibung der Funktionen des Admin-Interface.
  • Feature: Audit Log dokumentiert Konfigurations-Änderungen.
  • Feature: OTP Authentifizierung für Webinterface, SSH, Konsole, SSL VPN, IPSec xAuth (Wiki).
  • Feature: QR-Codes für OTP und WLAN.
  • Feature: Neue Cyren und Clamav Scan-Engines.
  • Feature: Dynamic DNS unterstützt jetzt IPv6.
  • Feature: Implied Rules werden nun auch bei Änderungen des User-Interface Ports automatisch angepasst.
  • Feature: Neues CLI Kommando zum Anzeigen und Löschen der Mail-Queue des SMTP-Gateway.
  • Feature: Neue Webfilter Kategorie für gefährliche Webseiten standardmässig bei Neuinstallationen aktiv.


Hinweis: Das Update wird im ersten Schritt nur an NFR-Lizenzen ausgeliefert. Die Verteilung erfolgt gestaffelt über einen Zeitraum von 24 Stunden.


Known Issue:

Authentifizierung am HTTP Proxy mittels LDAP muss neu konfiguriert werden. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.

Prüfen Sie nach dem Update insbesondere folgende Funktionalität:

  • Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen.
  • Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an.

Build 11.4.3.6

Release Date: 29.01.2015


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.6 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.

Build 11.4.3.5

Release Date: 30.09.2014

  • Security Bugfix: Kritische Probleme in der Bash-Shell behoben (CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277).


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.5 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.

Build 11.4.3.4

Release Date: 25.09.2014

  • Security Bugfix: Kritisches Problem in der Bash-Shell behoben (CVE-2014-6271).


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.4 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.

Build 11.4.3.3

Release Date: 23.09.2014

  • Bugfix: Das Update behebt das ungewollte Starten des Active Directory Dienstes, wenn der Dienst nicht konfiguriert ist.


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.

Build 11.4.3.2

Release Date: 23.09.2014

  • Bugfix: Fehler beim Löschen von E-Mail Domains in den Domain Mapping Einstellungen des Admin-Interface behoben.
  • Bugfix: Als ungültig markierte X.509 Zertifikate werden nun bei SSL VPN korrekt abgelehnt.
  • Bugfix: Stabilitätsverbesserungen beim Update von Dynamic DNS Accounts.
  • Bugfix: Problem bei IPv6 Router Advertisement behoben.
  • Bugfix: Stabilitätsverbesserungen bei Multipath Konfigurationen.
  • Bugfix: Optimierungen beim Umschalten von Clusterkonfigurationen und dem Neuinitialisieren der Dienste.


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.

Build 11.4.3.1

Release Date: 03.09.2014

  • Security Bugfix: Update OpenSSL Library.
  • Bugfix: Problem bei Benutzung des Algorithums Serpent oder Twofish mit 256 Bit bei IPSec behoben.
  • Bugfix: Problem beim Anlegen eines VDSL Interfaces ohne Link behoben.
  • Bugfix: Memory-Leak im Syslog Dienst behoben.
  • Bugfix: Änderungen in der Interface Einstellung „Route Hint“ wurden nicht aktualisiert.
  • Feature: Die Port-Einstellungen des lokalen Webservers sind nun auch in den Server Einstellungen zu finden.
  • Feature: Kernel wurde aktualisiert und die aktuellsten Hyper-V Treiber implementiert (Unterstützung ab Windows Server 2008 R2).
  • Feature: Integration der LIS (Linux Integration Services) für Hyper-V.


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.

Build 11.4.2

Release Date: 23.06.2014

  • Security Bugfix: Kritische Probleme in der OpenSSL Library behoben (https://www.openssl.org/news/secadv_20140605.txt).
  • Bugfix: Update ClamAV Virenscan-Engine.
  • Bugfix: Korrektur WebInterface in der Webfilter-Konfiguration bei französischer Spracheinstellung im Browser behoben.
  • Bugfix: Regex Anpassung im Mailfilter für Anbindung an Microsoft Exchange.
  • Bugfix: Fehler in der CLI im Paketfilter-Regelwerk und Mailfilter behoben, bei Angabe der Positions-Option (pos).


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.1.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.4.1.4

Release Date: 24.04.2014

  • Feature: Problem bei SMTP Verbindungen zu Microsoft Exchange Servern die eine fehlerhafte TLS Implementation benutzen, behoben.
  • Feature: In den Relaying Einstellungen des SMTP Dienstes können die konfigurierten Domains nun weiter eingeschränkt werden (Exakten Domainnamen für das Relaying verwenden).


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.1.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.4.1.3

Release Date: 08.04.2014

  • Security Bugfix: Kritisches Problem in der OpenSSL Library behoben. Betrifft nur UTMs die bereits auf dem Stand 11.4.1.2 sind (https://www.openssl.org/news/secadv_20140407.txt)
  • Bugfix: Beim HTTP Proxy mit deaktivierter SSL Interception wurde bei gesperrten HTTPS Seiten nicht auf die korrekte Fehlermeldungsseite des Proxys umgeleitet.


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.1.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.4.1.2

Release Date: 26.03.2014

  • Bugfix: HTTPS Aushandlung des Reverse Proxy und des Webserver für das Admin- und User-Interface optimiert.
  • Bugfix: Update der SSL Library.
  • Bugfix: Problem bei Dial On Demand der Point-To-Point Verbindungen behoben.
  • Bugfix: Problem bei doppelten IP Adressen in der Cluster-Konfiguration behoben.
  • Bugfix: Problem bei IPv6 DHCP Client Konfigurationen behoben.
  • Bugfix: Problem beim Anlegen von Rule-Routing Einträgen im Paketfilter behoben.


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.1.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.4.1.1

Release Date: 20.02.2014

  • Bugfix: Behebt ein Problem in der Datenbank für X.509 Zertifikate.


Hinweis:
In den Versionen kleiner 11.4.1 war es möglich mehrmals das gleiche Zertifikat zu importieren. Wenn das der Fall ist, sind nach dem Update auf die Version 11.4.1 keine Zertifikate mehr sichtbar. Sollten Sie das Problem haben, wenden Sie ein Rollback an und aktualisieren danach auf die Version 11.4.1.1. Die Version 11.4.1.1 entfernt automatisch, doppelt vorhandene Zertifikate.

Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.1.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.4.1

Release Date: 19.02.2014

  • Bugfix: HTTP Proxy NTLM Authentifizierung, Probleme mit Umlauten im Benutzername behoben.
  • Bugfix: Fehlende Firmware für die Netzwerkkarten der RC410 hinterlegt.
  • Bugfix: Fehler innerhalb des Routings bei Verwendung von Multipath und L2TP mit Proxy ARP behoben.
  • Bugfix: Die ClamAV-Virenscan-Engine wurde auf Version 0.98.1 aktualisiert.
  • Bugfix: Das Update der Mailarchive-Regel-Datenbank bei UTMs kleiner Version 11.3 ist korrigiert.
  • Bugfix: Fehler in der Suchfunktion in den Netzwerkeinstellungen behoben.
  • Feature: Die SSL VPN Implied Rule paßt sich nun automatisch an die Ports der SSL VPN Server Konfigurationen an. Bei der Verwendung der Implied Rule, ist es nun nicht mehr notwendig im Paketfilter dafür Regeln zu erstellen.


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.4

Release Date: 27.01.2014

  • Security Bugfix: Der SSH Dienst wurde aktualisiert wegen möglicher lokalen Rechte-Ausweitung.
  • Bugfix: Problem mit IPv6 Router-Advertisement-Daemon in Cluster Konfiguration behoben.
  • Bugfix: Die Funktion Factory Defaults löscht nun auch die hinterlegte Lizenz.
  • Bugfix: Fehler beim Einrichtungsassistenten bei Verwendung des IE10 von Microsoft behoben.
  • Bugfix: Mögliche Probleme beim Rücksichern einer Konfiguration aus dem Cloud-Backup behoben.
  • Bugfix: Clientless VPN konnte nicht mit AD Usern verwendet werden. Rechte-Problem behoben.
  • Bugfix: L2TP-Dienst konnte unter bestimmten Umständen nicht neu gestartet werden.
  • Bugfix: Feste DHCP Leases sind nun editiertbar und das MAC Adressen Feld unterstützt nun das Einfügen mittels „cut and paste“.
  • Bugfix: In der Zertifikatsverwaltung werden Intermediate-CAs nun auch unter CAs angezeigt.
  • Feature: Im HTTP Proxy kann man nun bei SSL Interception den Public Key der ausgewählten CA direkt herunterladen.
  • Feature: Das PDF zur Dokumentation der Konfiguration enthält nun auch diverse Betriebssystem Informationen, wie den aktuellen Routing-Table, Netzwerk-Interfaces und Prozess-Übersicht.
  • Feature: Amdosoft b4 Monitoring Agent zur Überwachung der UTM implementiert.
  • Feature: Zur Konfiguration des Reverse Proxy steht nun ein Wizard zur Verfügung.
  • Feature: VLans mit einer gleichen ID können nun auf unterschiedlichen Interfaces erzeugt werden.
  • Feature: Beim Erzeugen von Zertifikaten kann nun eine Schlüssellänge angegeben werden und Daten aus der CA können direkt übernommen werden.
  • Feature: Der HTTP Proxy Content Filter unterstützt die BPJM Filterliste (Bundesprüfstelle für jugendgefährdende Medien).
  • Feature: Feste DHCP Leases können mit der selben MAC Adresse nun bei unterschiedlichen Netzen eingetragen werden.
  • Feature: Regeln im Paketfilter, die keine Funktion besitzen, werden nun entsprechend gekennzeichnet.
  • Feature: Im Cockpit steht nun eine neue App zur Verfügung (Neighbor) das alle lokalen Systeme anzeigt, die über die Firewall kommunizieren.
  • Feature: Apps können nun temporär vergrössert werden und bei Apps die Graphen anzeigen kann nun auch gezoomt werden.


Folgendes ist bei dem Update zu beachten:
Der VPN Dienst PPTP ist bei Neuinstallationen nun Standardmässig ausgeblendet. Unter den erweiterten Einstellungen im WebInterface kann dieser manuell wieder aktiviert werden. Um in die erweiterten Einstellungen zu gelangen, drücken sie auf der Tastatur die Kombination <Strg><Alt>a (auf einer Apple Tastatur <crtl><alt>a). Unter dem Hauptpunkt Extras erscheint dann der Menü Punkt erweiterte Einstellungen.

Bei UTMs mit Flashspeicher und weniger als 1,5 GB RAM, wird aus Ressourcen Gründen der Clamav Virenscanner nach dem Update deaktiviert. Dienste, die diesen Nutzen sollten, werden automatisch auf den Commtouch Virenscanner konfiguriert. Im WebInterace bekommen sie nach dem Update eine entsprechende Nachricht, wenn das auf Ihre UTM zutrifft.


Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.3.1.2

Release Date: 23.10.2013

  • Bugfix: Im Union FS Layer wurden versteckte Dateien nicht vollständig gelöscht.
  • Bugfix: Logging des SNMP Dienstes angepasst.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.3.1.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.3.1

Release Date: 15.10.2013

  • Bugfix: Eventuell auftretende Probleme im Mailrelay in Verbindung mit Smarthost behoben.
  • Bugfix: Fehler im Mailfilter beim Filtern auf SRC/DST behoben.
  • Bugfix: Fehler im WebInterface beim Bearbeiten des UMTS APN behoben.
  • Bugfix: Umrechnungsfaktor beim HTTP Proxy in der Bandbreiten-Einschränkung angepasst.
  • Feature: Unterstützung für die Netzwerkkarte NetXtreme erweitert.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.3.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.3.0.3

Release Date: 01.10.2013

  • Bugfix: Eventuell auftretende Probleme mit der Cluster-Synchronisation behoben.
  • Bugfix: Problem beim Anlegen von mehr als zwei WLans behoben.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.3.0.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.3.0.2

Release Date: 19.09.2013

  • Bugfix: SSL VPN Site to Site Fehler in der Authentifizierung behoben.
  • Bugfix: Erneutes Versenden von E-Mails die als Spam klassifiziert wurden, werden nun nicht erneut durch den Mailfilter geparst.
  • Bugfix: LDAP Fehler im Mailrelay behoben.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.3.0.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.3.0.1

Release Date: 06.09.2013

  • Bugfix: Problem mit Terra Lizenzen nach Update auf 11.3 gelöst.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.3.0.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.3

Release Date: 06.09.2013

  • Security Bugfix: Cross-Site-Scripting Lücke im Live Log behoben. 1
  • Security Bugfix: Directory-Traversal-Attacke in Clientless VPN behoben. 1
  • Security Bugfix: Unauthorisierter Datei-Upload in Clientless VPN behoben. 1
  • Security Bugfix: Clientless VPN Websocket-Verbindung. Fehler in der Prüfung auf Session ID behoben.
  • Bugfix: Active Directory Gruppen werden nun nach Alphabet sortiert.
  • Bugfix: Die Limitierung des Mailarchives auf 3,2 GByte wurde aufgehoben.
  • Bugfix: Fehler in der Zeit-Einstellung korrigiert.
  • Bugfix: Fehler beim Anlegen eines PPTP DSL Interfaces behoben.
  • Bugfix: VLAN-Interface wurden nicht vollständig entfernt, wenn diese in der Konfiguration entfernt wurden.
  • Bugfix: Fehler in der Auswahl des Tastatur-Layouts am Login an Konsole behoben.
  • Bugfix: Clientless VPN: Domain Namen mit mehr als 15 Zeichen wurden bei Übergabe an den RDP Server abgeschnitten.
  • Bugfix: Clientless VPN: Problematik mit einigen Remote Desktop Servern behoben.
  • Bugfix: HTTP Proxy: Webseiten die ein Statuscode 200 zurück liefern und keinen Content hinterlegen, produzierten ein ICAP Protokoll Fehler.
  • Bugfix: HTTP Proxy: NTLM Authentifizierung mit Umlauten im Benutzernamen.
  • Feature: HA Funktionalität (erfordert HA Lizenz) Cluster Konfiguration - Best Practice
  • Feature: DHCP Client IPv6 Unterstützung.
  • Feature: Lokale HTTP Proxy Auswertung.
  • Feature: Export Name von SSL VPN Client geändert, zum einfacheren Import in Mac OSX Tunnelblick Client.
  • Feature: Neuer Befehl manager (new|get|set) um über die CLI einfacher IP Adressen für die Administration frei zu schalten.
  • Feature: Logmeldungen für SSL VPN angepasst um unterschiedliche Verbindungen besser zu unterscheiden.
  • Feature: Die laufende Konfiguration kann nun zwecks Dokumentation gedruckt werden.
  • Feature: Mailrelay: ausgehende IP Adresse fest einstellbar.
  • Feature: Mailfilter: Die Regeln können nun per Drag and Drop verschoben werden.
  • Feature: HTTP Proxy: Webfilter Standardverhalten einstellbar.
  • Feature: Reverse Proxy: SSL Protokoll einstellbar.
  • Feature: UserInterface: Spam-Filter mit Resend-Funktionalität.
1)Securepoint GmbH lässt präventiv in regelmässigen Abständen Security Audits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de).

Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.2.5.3

Release Date: 30.07.2013

  • Bugfix: Die ClamAV-Virenscan-Engine wurde auf Version 0.97.8 aktualisiert.
  • Bugfix: Doppelt im SSL-VPN-Server eingetragene Subnetze werden beim Übermitteln der Daten entfernt.
  • Bugfix: Das Cache-Log des HTTP-Proxy wird jetzt korrekt rotiert.
  • Bugfix: Beim Export von RSA-Schlüsseln über das Webinterface wird jetzt immer der Public-Key exportiert. Der Download des Private-Keys ist weiterhin über die CLI möglich: rsa export id <ID> flags PRIVATE
  • Bugfix: Es wurde ein Problem beim Ausführen des Befehls user who behoben, der zum Einfrieren der Appliance führen konnte.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.2.5.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.

Build 11.2.5.2

Release Date: 26.06.2013

  • Bugfix: Fehler beim Bearbeiten von Routen behoben.
  • Bugfix: Problem beim Anlegen von PPTP Interfaces behoben.
  • Feature: Diverse Verbesserungen im Bereich der Wlan-Konfiguration.
  • Feature: Netzwerk Bridging. Interfaces können zu einer Bridge zusammengefasst werden (siehe auch http://wiki.securepoint.de/index.php/Bridging_UTMV11).


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2.5.2 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2.5.1

  • Bugfix: WLan Probleme mit Apple iOS6 Geräten, die den 802.11n-Modus unterstützen, behoben.
  • Bugfix: IPSec Tunnelaufbau nach DSL Zwangstrennung verbessert.
  • Bugfix: Zeitweise hohe CPU Last in Zusammenhang mit FWA-3210 Hardware und LCDd behoben.
  • Feature: HTTP Proxy kann bei eingeschalteter Authentifizierung (Browser hat Proxy eingetragen) nun gleichzeitig auch im transparenten Modus ohne Authentifizierung betrieben werden.
  • Feature: Konfigurations-Wizard um WLan Einstellungen erweitert.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2.5.1 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2.5

  • Security Bugfix: Im Linux Kernel wurde eine Sicherheitslücke geschlossen, die es einem lokalen User ermöglicht sich root-Rechte zu verschaffen.
  • Bugfix: Reduzierung der Virenscanner Threads bei Appliances mit einem Core und weniger als 1GHz.
  • Bugfix: Bei Verwendung des ECAP Modules (Virenscanner), konnte es vorkommen das einige File Deskriptoren nicht wieder geschlossen werden.
  • Bugfix: Mögliche Einwahl-Probleme bei DSL PPPoE Verbindungen nach Zwangstrennung behoben.
  • Bugfix: Umstellung der Mail-Queue auf einen permanenten Speicherbereich, so das E-Mails aus der Queue nach einem Reboot nicht verloren gehen.
  • Bugfix: Beim Editieren von PPPoE wurde das Interface fälschlicher Weise nicht wieder als dynamisches Interface markiert.
  • Bugfix: Beim Importieren einer Konfiguration UTM V10 wurden PPPoE Interfaces nicht als dynamisches Interface markiert.
  • Bugfix: Übermittlung der LZO Einstellungen an den SSL VPN Client korrigiert.
  • Bugfix: Editieren von SSL VPN Site to Site Verbindungen korrigiert.
  • Bugfix: Beim manuellen Löschen aller Konfigurationen startete die UTM nicht in den Werkseinstellungen.
  • Bugfix: Der Status von IPSec IKEv2 Verbindungen wurde im WebInterface nicht korrekt dargestellt.
  • Bugfix: Der Mailfilter (Spamfilter) produzierte unter umständen doppelte Header Einträge in den verarbeiteten E-Mails.
  • Bugfix: Verbindet sich ein SSL VPN Client mit aktivierten IPv6 Support, wurden das Log mit einer Log-Meldung dazu geflutet.
  • Bugfix: Speicher- und Performance Verbesserung des Firewall Servers.
  • Feature: Neues App für das Cockpit für die Zugriffsstatistik über den transparenten HTTP Proxy.
  • Feature: Es können für die Administration nun auch Hostnamen anstatt IP Adressen/Netze eingetragen werden.
  • Feature: In der Konfiguration des Mailfilters sind nun auch „oder“ Verknüpfungen in den Regeln möglich.
  • Feature: Neue implizierte Regel um das NAT für IPSec automatisch zu deaktivieren.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2.5 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2.3

  • Bugfix: Das Update enthält die fehlende Firmware für einige Broadcom Netzwerkkarten.
  • Bugfix: Problem beim dynamischen Erstellen der Zertifikate im SSL Proxy behoben.
  • Bugfix: Es werden nun Wildcard Zertifikate im SSL Proxy erzeugt, wenn der Hostname in der URL länger als 64 Zeichen ist.
  • Bugfix: Interoperabilität des PoP3 Proxy mit PoP3 Connectoren verbessert.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2.3 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2.2

  • Bugfix: Update Root Hints im Nameserver.
  • Bugfix: Update der TLS Komponenten.
  • Bugfix: Problem bei Verwendung des Mailrelays und der Smarthost Funktion im Zusammenhang mit TLS gelöst.
  • Bugfix: Automatisches Laden des NAT Moduls für Aktiv-FTP behoben.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2.2 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2.1

  • Bugfix: Update der TLS Komponente für Clientless VPN.
  • Bugfix: Behebt Darstellungsproblem im UserInterface, Bereich Spamfilter.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.2

  • Security Bugfix: Validierungstiefe der Authentifizierung im WebInterface erhöht, um eine mögliche Rechteausweitung zu unterbinden. Eine Schwachstelle in der Authentifizierung im WebInterface ermöglicht unter Umständen die Manipulation von Bereichen der Datenbank.
  • Bugfix: Bereinigung einiger Fehler bei Verwendung von Fallback-Interface- Konfigurationen.
  • Bugfix: Verbesserung der UMTS Einwahl bei schwankender Signalstärke.
  • Bugfix: Cloudbackup Fehler bei Konfigurations-Namen mit Leerzeichen beseitigt.
  • Bugfix: Möglicher Fehler beim dekodieren von E-Mail-Headern im Mailfilter korrigiert.
  • Bugfix: Verwendung von Umlauten im HTTP Proxy Webfilter korrigiert.
  • Bugfix: Verbesserungen der Ausfallsicherheit beim Multipathrouting.
  • Bugfix: Fehler bei Verwendung von lokalen Gruppen im HTTP Proxy beseitigt.
  • Bugfix: Zugriff auf einige Versionen des MS IE Servers über den HTTP Proxy beseitigt.
  • Bugfix: Möglicher Abbruch eines Download bei eingeschalteten Virenscan in Kombination mit bestimmten Webserver behoben.
  • Feature: SMP Prozessor Unterstützung.
  • Feature: Aufbau von GRE Tunneln über die Interface-Einstellungen implementiert.
  • Feature: Automatische Update-Funktion für den SSL-VPN Client.
  • Feature: Unterstützung von IPSec Kompression und Erweiterung der Implied Rules.
  • Feature: Reverse Proxy, Unterstützung von Authentication-Passthrough.
  • Feature: HTTP Proxy Virenscanner, Whitelist des ICY-Protokolls einstellbar.
  • Feature: Im Regelwerk können nun Dienste auch mit der Stateless-Funktion konfiguriert werden.


Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass nachdem Update auf die Version 11.2 sich die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.

Build 11.1.2

  • Bugfix: Aufgrund eines Fehlers bei der Datenbankkonvertierung, konnten einige Konfigurationsdatenbanken nicht auf die Version 11.1.1 aktualisiert werden. Mit der Version 11.1.2 wird die Konvertierung erfolgreich durchgeführt.

Build 11.1.1

  • Bugfix: Problem beim manuellen Neustart des Spamfilter Dienstes behoben.
  • Bugfix: Fehler beim Anlegen von mehr als einem WLAN Netz behoben.
  • Bugfix: Fehler in den implizierten Regeln für SSL VPN und Verwendung des TCP Protokolls behoben.
  • Bugfix: Bei statischen DHCP Leases wurde kein Standard-Gateway/Nameserver übermittelt.
  • Bugfix: Mögliche, falsche Dekodierung des Mailheaders im Mailfilter Dienst behoben.
  • Bugfix: Mögliche Datenbankkorruption im Authentisierungs-Dienst behoben.
  • Bugfix: HTTP Proxy Performance verbessert.
  • Bugfix: Caching im Contentfilter verbessert.
  • Bugfix: Fehler im Anlegen von SSL VPN Site to Site Verbindungen behoben.
  • Bugfix: Fehler beim Anlegen der Netzwerkmaske bei SSL VPN Roadwarrior Verbindungen behoben.
  • Bugfix: Fehler in der automatischen Aktualisierung des Live-Logging im WebInterface behoben.
  • Feature: Im LCD Display wird jetzt die vollständige Versionsnummer angezeigt.

Build 11.1

  • Bugfix: Active Directory Authentifizierung für PPTP/L2TP VPN Verbindung.
  • Bugfix: Zuweisung fester IPs für PPTP/L2TP/SSL VPN Verbindungen.
  • Bugfix: Zuweisung von DNS/WINS Servern bei PPTP/L2TP Verbindungen.
  • Bugfix: TLS Support für PoP3Proxy deaktivierbar.
  • Bugfix: Setzen des Server-Flags bei Zertifikaten.
  • Feature: Verbesserungen der Bandbreite bei WLan Verbindungen.
  • Feature: Optimierungen beim Import von Konfigurationen aus der Version 10.
  • Feature: WoL Funktion für Active Directory Benutzer im UserInterface.
  • Feature: SSL VPN Funktion für Active Directory Benutzer im UserInterface.

Build 11.0.1

  • Bugfix: Portfiltersortierung, die Regeln wurden in Gruppen sortiert.
  • Bugfix: Contenfilter funktionierte nicht korrekt.

Build 11.0 - First Release

SICHERUNGSMANAGEMENT

  • Cloudbackup


NETZWERK

  • IPv6 Funktionalität
    • Konfiguration zu externen Tunnelbrokern (z.B. HE.net)
    • IPv6 DHCP + Router Advertisment
    • DHCP-Relay (generell nun auch durch VPN Tunnel möglich)
    • Regeln für DHCP werden automatisch für das entsprechende Interface angelegt
  • WLAN Access Point
    • Virtuelle WLANs (zum Beispiel Gäste Netze)
    • PSK oder Enterprise Authentisierung (Active Directory)
  • UMTS
    • Generelle Internetverbindung über UMTS oder Fallback


PACKETFILTER

  • Einzelne Host/Netze/Dienste oder in Kombination mit Gruppen möglich (kein Gruppenzwang mehr)
  • Implied Rules Konfiguration
    • Standarddienste wie Bootp, Netbios Broadcast... die nicht explizit freigeschaltet sind, können durch einen

Klick aus dem vom Logging entfernt werden.

    • Standarddienste wie VPN können durch einen Klick der Zugriff gewährt werden, ohne extra eine Regel zu

schreiben.

  • Static NAT, Hide Nat und deren Ausnahmen werden jetzt direkt im Paketfilter konfiguriert.
    • Bedeutet: wenn solch eine Regel geschrieben wird, muss keine extra Regel mehr für die Freischaltung

erstellt werden.

  • Überarbeitet QoS Management


HTTP PROXY

  • Deaktivieren der transparenten Funktion oder stoppen des Dienstes erwirkt auch Deaktivierung des Redirect

(gilt auch für PoP3 Proxy)

  • Virenscanning, Auswahl zwischen Comtouch und Clamav Virenscanner
  • SSL Interception
  • Webfilter/Contentfilter (kein Dansguardian mehr, alles über Squid und unserem Contentfilter)
    • Dedizierte Konfiguration von Nutzer oder/und Netzwerken
    • AdBlocking zentral möglich


REVERSE PROXY

  • Reverse Proxy für http/https
    • Loadbalacing auf interne Server
    • Bandbreitenmanagment
    • diverse Filtermöglichkeiten


SPAM FILTER

  • kein Bayes Filter mehr, nur noch über Comtouch Spamfilter und unserem Contentfilter

(Beispiel: pornografische Links)


NAMESERVER

  • Erstellung eigener Zone Files über die Oberfläche (Domain als auch Reverse).


DIENSTE STATUS

  • Zeigt nicht nur Stopp/Gestartet sondern auf Fehler.


IPSEC

  • Unterstützung von XAuth (interessant für iPhone und VPN Clients die das Unterstützen)


OPEN VPN

  • Site-to-Site Konfiguration nun auch möglich


CLIENTLESS VPN

  • VPN über den Browser für RDP und VNC ohne zusätzliche Plugins (moderner Browser erforderlich)


USERMANAGEMENT

  • Gruppenmanagement
  • Integration in Verzeichnisdienste


CLI

  • Komplett neue CLI Syntax
  • CLI auch über die Weboberfläche möglich


UPDATE

  • Beim Online-Update und Update über Speichermedium ist es möglich wieder auf die vorherige Version zurück

zu gehen.


Changelog der Securepoint Firewall Software