Keine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
(71 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Lang}} | {{Lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
Zeile 7: | Zeile 6: | ||
| Securepoint UTM Changelog | | Securepoint UTM Changelog | ||
| Securepoint UTM changelog }} | | Securepoint UTM changelog }} | ||
{{var | Update auf 12.1.1-- | {{var3 | head | ||
| | | Alle Änderungen aus den Securepoint UTM Updates (inkl. Reseller Previews) sind hier für Sie aufgelistet. | ||
| | | All changes from the Securepoint UTM updates (incl. Reseller Previews) are listed here for you. }} | ||
{{var | v12-- | {{var | keywords | ||
| | | Firmware Updates, UTM Upgrade, UTM Update, Software Aktualisierung | ||
| | | Firmware updates, UTM upgrade, UTM update, software update }} | ||
{{var | | {{var | 1=Keine Info zu Security-Bugfix | ||
| 2=<ul><li class="list--element__bullet">Zum Zeitpunkt der Veröffentlichung dieses Updates geben wir keine weiteren Informationen zu dieser Sicherheitslücke bekannt.</li><li class="list--element__bullet">Wir geben unseren Kunden die Möglichkeit, ihre Systeme abzusichern, bevor Details einen möglichen Angriffsweg verraten könnten.</li><li class="list--element__bullet">Zu einem späteren Zeitpunkt werden dann weitere Informationen dazu veröffentlicht.</li></ul> | |||
| 3=<ul><li class="list--element__bullet">At the time of publishing this update, we are not releasing any further information about this vulnerability.</li><li class="list--element__bullet">We are giving our customers the opportunity to secure their systems before details could reveal a possible avenue of attack</li><li class="list--element__bullet">Further information will be released at a later date.</li></ul> }} | |||
{{var | | {{var | Build 12.6.5--desc | ||
| | | ;Security Bugfix: | ||
| | * Fehler behoben, durch den unter Umständen OTP Codes nicht korrekt validiert wurden | ||
{{var | | |;Security Bugfix: | ||
* Fixed a bug where otp codes were not properly verified under certain circumstances }} | |||
{{var | Build 12.6.5--Hinweis | |||
{{var | | | '''Empfohlene Vorgehensweise: <u>Umgehend</u> auf Hotfix Version 12.6.5 aktualisieren.''' | ||
| '''Recommended course of action: Update <u>imideatly</u> to hotfix version 12.6.5''' }} | |||
{{var | | |||
{{var | Build 12.7.0--desc | |||
| ;Maintenance: | |||
{{var | | :Operating System: | ||
* Aktualisierung des Betriebssystems und aller Komponenten | |||
* Aktualisierung der DHCP Komponenten | |||
{{var | | |||
| | ;Features: | ||
| | :Neue Funktionen: | ||
{{var | | * Beim [[UTM/APP/Reverse_Proxy|Reverse Proxy]] lässt sich eine neue NGinx Engine konfigurieren | ||
* Das Logging lässt sich direkt in der tabellarischen Ansicht des [[UTM/RULE/Paketfilter|Paketfilters]] konfigurieren | |||
* Statische DHCP Leases werden [[UTM/RULE/Netzwerktopologie|nach Pools gruppiert]] | |||
* Eine farbliche Hervorhebung lässt sich beim [[UTM/Log|Log]] einstellen | |||
* Das [[UTM/EXTRAS/CLI|CLI-Terminal]] ist im Administrations-Webinterface andockbar und in der Größe veränderbar | |||
* [[UTM/RULE/Implizite_Regeln|Implizite Regeln]] sind über eine kachelbasierte Ansicht einstellbar | |||
:Administrations-Webinterface: | |||
* Lokale [[UTM/CONFIG/Konfigurationsverwaltung|Konfigurationen]] lassen sich kopieren | |||
* Beim Anlegen von Netzwerkobjekten werden Zonen automatisch nach Routen ausgefüllt | |||
* Beim [[UTM/APP/Webfilter|Webfilter]] lassen sich auch Regeln kopieren | |||
* Hinzufügen Dialog für IPv6 Routen wurde optimiert | |||
* Optimierung der "DNS Server vom Provider nutzen" Funktion bei [[UTM/NET/Mutlipathrouting|Multipathrouting]] | |||
* Neue Warnung beim Ausloggen und Schließen des Browsertabs wird angezeigt, falls noch ungespeicherte Änderungen vorliegen | |||
* Netzwerkobjekte und Leases sind in der [[UTM/RULE/Netzwerktopologie|Netzwerktopologie]] löschbar | |||
* Warnung beim Aktivieren des [[UTM/NET/Cluster-Management|Cluster Wartungsmodus]] über eine Websession wird ausgegeben | |||
:WireGuard: | |||
* Interfaces in der Zone "internal" oder "firewall-internal" als Allowed IPs werden nun markiert | |||
* Warnung beim Löschen von aktuell verwendeten WireGuard Keys wird angezeigt | |||
:Mailfilter: | |||
* [[UTM/UI/E-Mail_Verwaltung#Tags|Tag-System]] wurde angepasst ({{alert}} Achtung: Es kann vereinzelt vorkommen dass bestehende Tags nicht mehr korrekt greifen. Nach dem erneuten Hinzufügen einer entsprechenden E-Mail zu einem Tag, funktioniert der Filter wieder korrekt.) | |||
* Allen E-Mails wird ihr Hash Wert in das [[UTM/APP/Mailfilter#Mail-Header|Kopf Feld]] "X-Securepoint: FHASH" eingetragen | |||
* Hash Werte werden zur Auswertung an Securepoint gesendet | |||
;Bugfixes: | |||
* Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: Paketfilter, Mailfilter, Appliance Widget, Zertifikate, QoS, Netzwerkkonfiguration und Responsive Design | |||
* Limitierung für Mailtag Namen wurde eingebaut | |||
* Mailconnector Multidrop Oberfläche war nicht mehr nutzbar, wenn ein Custom Envelope Header genutzt wurde | |||
* Ein Deaktivieren von Router Advertisement löschte darüber angelegte Netze nicht | |||
* Ansprache und Datumsformat im Spam Bericht wurde geändert | |||
* Wake on LAN (WOL) verwendet nun mehrere Zielports | |||
* Prefix Delegation war unter Umständen fehlerhaft | |||
* Neue Wireguard Peers konnten mit der Option "Schlüssel direkt eingeben" nicht gespeichert werden | |||
| ;Maintenance: | |||
:Operating System: | |||
* Update the operating system and all components | |||
* Updating the DHCP components | |||
;Features: | |||
:New functions: | |||
* A new NGinx engine can be configured for the [[UTM/APP/Reverse_Proxy|reverse proxy]] | |||
* Logging can be configured directly in the tabular view of the [[UTM/RULE/Paketfilter|packet filter]] | |||
* Static DHCP leases are grouped [[UTM/RULE/Netzwerktopologie|according to pools]] | |||
* Color highlighting can be set for the [[UTM/Log|log]] | |||
* The [[UTM/EXTRAS/CLI|CLI terminal]] can be docked and resized in the administration web interface | |||
* [[UTM/RULE/Implizite_Regeln|Implicit rules]] can be set via a tile-based view | |||
:Administration web interface: | |||
* Local [[UTM/CONFIG/Konfigurationsverwaltung|configurations]] can be copied | |||
* Zones are automatically filled in according to routes when creating network objects | |||
* Rules can also be copied for the [[UTM/APP/Webfilter|web filter]] | |||
* Add dialog for IPv6 routes has been optimized | |||
* Optimization of the "Use DNS server from provider" function for [[UTM/NET/Mutlipathrouting|multipath routing]] | |||
* New warning is displayed when logging out and closing the browser tab if there are still unsaved changes | |||
* Network objects and leases can be deleted in the [[UTM/RULE/Netzwerktopologie|network topology]] | |||
* Warning is issued when activating [[UTM/NET/Cluster-Management|cluster maintenance mode]] via a web session | |||
:WireGuard: | |||
* Interfaces in the "internal" or "firewall-internal" zone as Allowed IPs are now marked | |||
* Warning when deleting currently used WireGuard keys is displayed | |||
:Mailfilter: | |||
* [[UTM/UI/E-Mail_Verwaltung#Tags|Tag system]] has been adapted ({{alert}} Attention: It may happen that existing tags no longer work correctly. After re-adding a corresponding e-mail to a tag, the filter will work correctly again.) | |||
* All emails have their hash value entered in [[UTM/APP/Mailfilter#Mail-Header|the header field]] "X-Securepoint: FHASH" | |||
* Hash values are sent to Securepoint for evaluation | |||
;Bugfixes: | |||
* Visual errors and hints of the user interface in some dialogs fixed: packet filter, mail filter, appliance widget, certificates, QoS, network configuration and responsive design | |||
* Limitation for mail tag names has been implemented | |||
* Mailconnector multidrop interface was no longer usable if a custom envelope header was used | |||
* Deactivating Router Advertisement did not delete networks created via it | |||
* Address and date format in the spam report has been changed | |||
* Wake on LAN (WOL) now uses multiple target ports | |||
* Prefix delegation was incorrect under certain circumstances | |||
* New Wireguard peers could not be saved with the "Enter key directly" option }} | |||
{{var | Build 12.6.4.2--desc | |||
| ;Bugfix: | |||
* Bei IPSec Verbindungen mit IKEv1 konnte der Phase 1 Dialog nicht gespeichert werden | |||
* Ein über die USC Profile gesetztes Cloud Backup Passwort konnte unter Umständen im Klartext im Audit Syslog auftauchen | |||
| ;Bugfix: | |||
* The phase 1 dialog could not be saved for IPSec connections with IKEv1 | |||
* A cloud backup password set via the USC profiles could appear in plain text in the audit syslog under circumstances }} | |||
{{var | Build 12.6.4.1--desc | |||
| ;Bugfix: | |||
* Fehler behoben, durch den lokale SSL-VPN Site-to-Site Client Verbindungen nicht mehr editiert werden konnten | |||
| ;Bugfix: | |||
* Fixed a bug where local SSL-VPN site-to-site client connections could no longer be edited }} | |||
{{var | Build 12.6.4--knwon issue | |||
| Einstellungen im SSL VPN S2S Client können nachträglich nicht mehr geändert werden. | |||
| }} | |||
{{var | Geplant | |||
| Geplant Anfang | |||
| }} | |||
{{var | 12.6.4-SSL-Client | |||
| SSL VPN Site-to-Site <br>Client Konfiguration | |||
| }} | |||
{{var | 12.6.4-SSL-Client--desc | |||
| Nach dem Update auf v12.6.4 können im Bearbeitungsdialog einer SSL VPN Verbindung für S2S Clients keine Änderungen mehr vorgenommen werden.<p>Man gelangt zwar in den Bearbeitungsdialog, aber ein Klick auf {{Button-dialog|Speichern}} hat keine Auswirkung.</p> | |||
| }} | |||
{{var | 12.6.4-SSL-Client--Workaorund | |||
| Bearbeitung über das [[UTM/CLI/Openvpn | CLI]] oder [[UTM/EXTRAS/Firmware_Update#Rollback | Rollback]] auf die vorherige Version. | |||
| }} | |||
{{var | Build 12.6.4--desc | |||
| ;Bugfixes: | |||
* Das Laden von importierten Konfigurationen mit mehr Schnittstellen als aktuell auf der Maschine verfügbar hat zu Problemen geführt | |||
* Das Setzen von leeren Werten im Mailarchivdialog wird verhindert | |||
* Beim Setzen von sysctl Variablen wurde das VLAN Namensschema nicht berücksichtigt | |||
| ;Bugfixes: | |||
* Loading imported configurations with more interfaces than currently available on the machine has led to problems | |||
* Setting empty values in the mail archive dialog is prevented | |||
* When setting sysctl variables, the VLAN naming scheme was not taken into account }} | |||
{{var | Build 12.6.3--desc | |||
| ;Bugfixes: | |||
* Fehler behoben, durch den eine falsche Verlinkung in der HTTP-Proxy Statistik angezeigt wurde | |||
* Für SNMP war die Ausgabe der VPN-Verbindungen bei einer hohen Anzahl nicht vollständig | |||
* Systemweite Proxy-Einstellungen werden nun von GeoIP-Updates und Cloudbackups verwendet | |||
* Unter Umständen wurde der RNDC-Key des Nameserver Dienstes nicht erfolgreich erneuert | |||
* IP-Adressen wurden nicht richtig vom Systemweiten Proxy übernommen | |||
* Lokale Benutzer konnten fälschlicherweise in zwei Wireguard-Konfigurationen erscheinen | |||
* Mögliche Neustart-Probleme des Namensauflösungsdienstes behoben | |||
| ;Bugfixes: | |||
* HTTP-Proxy Statistics could contain a wrongĺy linked item | |||
* SNMP values for VPN connections were not complete when a lot of connections were active | |||
* Systemwide proxy settings are now used by GeoIP update and Cloudbackups | |||
* The RNDC key of the nameserver service was not renewed under certain circumstances | |||
* IPv6 addresses were not saved correctly for the systemwide proxy | |||
* Local users could appear in two different wireguard configurations | |||
* Possible restart problem with the name resolution service was fixed }} | |||
{{var | Build 12.6.2--desc | |||
| ;Maintenance: | |||
:Operating System: | |||
* Aktualisierung des Betriebssystems und Komponenten | |||
* Aktualisierung des Nameservers (CVE-2023-50387, CVE-2023-50868, CVE-2023-5517, CVE-2023-5679) | |||
* VPN Client wurde auf 2.0.41 aktualisiert | |||
* Fehler in der Upload Funktion des Webinterfaces behoben | |||
;Features: | |||
:Administrations-Webinterface: | |||
* [[USC/Profile#Hinweis_USC-Profil | USC-Profil Funktion]] kann nun aktiviert werden | |||
* Im [[UTM/AUTH/Datenschutz | Datenschutz Dialog]] lässt sich die Anonymisierung der Anwendungen nun kollektiv aktivieren und deaktivieren | |||
* Bei eingeschalteter [[UTM/NET/Cluster-Management | Cluster-Konfiguration]] ist das Administrations-Webinterface deutlich zwischen dem aktiven und passiven Cluster unterscheidbar | |||
* Verhalten der [[UTM/APP/Mailfilter#Mailarchiv | Mailfilter TNEF Verarbeitung]] kann spezifischer eingestellt werden | |||
* Das [[UTM/Widgets#Optionale_Widgets | DHCP Widget]] wird nicht mehr unterstützt und enthält eine Verlinkung zum neuen Netzwerktopologie-Dialog | |||
* Statische Leases sind im [[UTM/RULE/Netzwerktopologie | Netzwerktopologie-Dialog]] einzusehen | |||
* Automatische Firmwareaktualisierungen lassen sich nun auch bei [[UTM/EXTRAS/Firmware_Update#Update_Planung | aktivierter USC]] nutzen | |||
:Sonstiges: | |||
* Eine [[UTM/APP/Connection-Rate-Limit | Drosselung für eingehende UDP und TCP Pakete]] ist über das CLI konfigurierbar und bei Neuinstallationen für UDP auf dem externen Interface aktiviert | |||
* [[UTM/NET/SNMP-OIDs#SECUREPOINT-UTM.mib | SNMP Abfragen]] für eine IPSec-Verbindung mit mehreren Subnetzen sind nun möglich | |||
* Der Umfang der [[UTM/UI/WOL | Wake on LAN]] Funktion wurde optimiert | |||
;Bugfixes: | |||
* Fehler behoben, bei welchem eine Default Route nach einem UTM Neustart nicht gesetzt wurde | |||
* Eine fehlerhafte Konfiguration einer OpenVPN-Verbindungen konnte eine erhöhte Systemlast hervorrufen | |||
* Unter Umständen konnten IPv4 Adressen vom DHCP Client nicht bezogen werden | |||
* Das Verhalten der DHCP-Prüfung während des Logins beim Administrations-Webinterfaces wurde optimiert | |||
* Generierte PDF OTP QR-Codes wurden unter Umständen nicht vollständig angezeigt | |||
* Falsche Ausgabe für das OpenVPN Status Widget wurde behoben | |||
* Der Login am Administrations-Webinterface konnte während des Herunterladens einer neuen Firmware zeitweise blockiert werden | |||
* Wireguard Konfigurationen mit ausschließlich Benutzer-Peers wurden nicht korrekt geschrieben | |||
| ;Maintenance: | |||
:Operating System: | |||
* Update of the operating system and components | |||
* Update of the name server (CVE-2023-50387, CVE-2023-50868, CVE-2023-5517, CVE-2023-5679) | |||
* VPN client has been updated to 2.0.41 | |||
* Error in the upload function of the web interface has been fixed | |||
;Features: | |||
:Administration web interface: | |||
* [[USC/Profile#Hinweis_USC-Profil | USC profile function]] can now be activated | |||
* In the [[UTM/AUTH/Datenschutz | data protection dialog]], the anonymization of applications can now be activated and deactivated collectively | |||
* When the [[UTM/NET/Cluster-Management | cluster configuration]] is activated, the administration web interface clearly distinguishes between the active and passive cluster | |||
* Behavior of the [[UTM/APP/Mailfilter#Mailarchiv | mail filter TNEF processing]] can be set more specifically | |||
* The [[UTM/Widgets#Optionale_Widgets | DHCP widget]] is no longer supported and contains a link to the new network topology dialog | |||
* Static leases can be viewed in the [[UTM/RULE/Netzwerktopologie | network topology dialog]] | |||
* Automatic firmware updates can now also be used when [[UTM/EXTRAS/Firmware_Update#Update_Planung | USC is activated]] | |||
:Other: | |||
* [{{#var:host}}UTM/APP/Connection-Rate-Limit Throttling for incoming UDP and TCP packets] can be configured via the CLI and is activated for UDP on the external interface for new installations | |||
* [[UTM/NET/SNMP-OIDs#SECUREPOINT-UTM.mib | SNMP queries]] for an IPSec connection with multiple subnets are now possible | |||
* The scope of the [[UTM/UI/WOL | Wake on LAN]] function has been optimized | |||
;Bugfixes: | |||
* Fixed a bug where a default route was not set after a UTM restart | |||
* An incorrect configuration of an OpenVPN connection could cause an increased system load | |||
* Under certain circumstances, IPv4 addresses could not be obtained from the DHCP client | |||
* The behavior of the DHCP check during login to the administration web interface has been optimized | |||
* Generated PDF OTP QR codes were not displayed completely under certain circumstances | |||
* Incorrect output for the OpenVPN status widget has been fixed | |||
* Login to the administration web interface could be temporarily blocked while downloading a new firmware | |||
* Wireguard configurations with only user peers were not written correctly }} | |||
{{var | Build 12.6.1--desc | |||
| ;Features: | |||
:Neue Features: | |||
* [[UTM/Tools |Dark Mode]] verfügbar | |||
* [[UTM/NET/Bond |Bond-Konfiguration]] für Ethernet-Schnittstellen | |||
* OpenVPN: Unterstützung von TLS-Crypt für [[UTM/VPN/SSL_VPN-Roadwarrior#Verbindung_bearbeiten |Roadwarrior]] und [[UTM/VPN/SSL_VPN-S2S#Abschnitt_Allgemein |S2S]] | |||
* [[UTM/NET/Cluster-Management#Konfiguration |Schnittstellenüberprüfung]] vor Cluster-Synchronisation | |||
:Aktualisierungen: | |||
* [[UTM/NET/Cluster-Management#Konfiguration |Cluster-Syncronisierung]] von Virus-Patterns, Mailarchive Hashes (Spam) und der GEO-IP Liste | |||
* [[UTM/NET/SNMP-OIDs#WireGuard |Wireguard Status per SNMP]] auslesbar | |||
* [[UTM/APP/IGMP_Proxy#Whitelist |Allowlist im IGMP-Proxy]] konfigurierbar | |||
:Sonstiges: | |||
* Layout der [[UTM/APP/SSL-Interception | Auswahl der SSL Interception]] wurde für den HTTP Proxy überarbeitet | |||
* Einheiten im QoS sind in Gbit/s einstellbar | |||
* IKEv1 Protokoll wird als veraltet gekennzeichnet (IPSec) | |||
;Bugfixes: | |||
* Fehler behoben, bei welchem eine Firmware Übertragung auf die Spare nicht funktionierte | |||
* Bei der E-Mail-Statistik wurde die Liste der einzelnen Kategorien nicht vollständig angezeigt | |||
* Log Cloud Meldungen ließen sich nicht herunterladen | |||
* Unter Umständen konnten Paketfilter Regeln nicht mehr aktualisiert werden, sobald eine Regel mit einem Full Cone NAT samt Dynamischen Hostnamen * konfiguriert wurde | |||
* Das Auflösen von URL-Shortener Adressen war mit dem HTTP Proxy manchmal fehlerhaft | |||
* Support-Benutzer konnten nicht mit aktivierten OTP-Optionen betrieben werden | |||
* Fehler behoben bei welchem eine große Anzahl von VLANs nicht sofort nach dem Neustart zur Verfügung standen | |||
* VLAN Schnittstellen konnten keine DHCP Client Adresse beziehen | |||
* Validierung von Falsch eingegebenen IP Adressen wurde für den DHCP Pool Dialog angepasst | |||
* Bei einer verzögerten Internet Einwahl wurde das UTM Autoupdate nicht abgeschlossen | |||
* Unter Umständen wurden bei IPSec Verbindungen die Tunnel SAs nicht gelöscht | |||
* Eine Speichern und Schließen Aktion funktionierte nicht beim SSL-VPN Wizard | |||
* Eine laufende USC Websession wurde beendet, sobald ein Cloud-Backup Passwort gesetzt wurde | |||
* Validierung von Falsch eingegebenen Nameserver Einträgen wurde verbessert | |||
* Fehler behoben, bei welchem kein Prefix für die WAN Schnittstelle gesetzt wurde nach Modem neustart | |||
| ;Features: | |||
New features: | |||
* [[UTM/Tools |Dark Mode]] available | |||
* [[UTM/NET/Bond |Bond configuration]] for Ethernet interfaces | |||
* OpenVPN: Support of TLS-Crypt for [[UTM/VPN/SSL_VPN-Roadwarrior#Edit_connection |Roadwarrior]] and [[UTM/VPN/SSL_VPN-S2S#Section_General |S2S]] | |||
* [[UTM/NET/Cluster-Management#Configuration |Interface check]] before cluster synchronization | |||
Updates: | |||
* [[UTM/NET/Cluster-Management#Configuration |Cluster-Syncronization]] of virus patterns, mail archive hashes (spam) and the GEO-IP list | |||
* [[UTM/NET/SNMP-OIDs#WireGuard |Wireguard Status via SNMP]] readable | |||
* [[UTM/APP/IGMP_Proxy#Whitelist |Allowlist in IGMP proxy]] configurable | |||
Other: | |||
* Layout of [[UTM/APP/SSL-Interception | Selection of SSL Interception]] has been revised for the HTTP proxy | |||
* Units in QoS can be set in Gbit/s | |||
* IKEv1 protocol is marked as obsolete (IPSec) | |||
;Bugfixes | |||
* Fixed a bug where a firmware transfer to the spare did not work | |||
* The list of individual categories was not displayed completely in the e-mail statistics | |||
* Log Cloud messages could not be downloaded | |||
* Under certain circumstances, packet filter rules could no longer be updated as soon as a rule was configured with a full cone NAT including dynamic hostname | |||
* Resolving URL shortener addresses was sometimes incorrectly done with the HTTP proxy | |||
* Support users were unable to handle OTP options | |||
* Fixed a bug where a large number of VLANs were not available immediately after reboot | |||
* VLAN interfaces could not obtain a DHCP client address | |||
* Validation of incorrectly entered IP addresses was adjusted for the DHCP pool dialog | |||
* The UTM autoupdate was not completed during a delayed Internet dial-in | |||
* Under certain circumstances, the tunnel SAs were not deleted for IPSec connections | |||
* The save and close action did not work with the SSL VPN Wizard | |||
* A running USC web session was terminated as soon as a cloud backup password was set | |||
* Improved validation of incorrectly entered name server entries | |||
* Fixed a bug where no prefix was set for the WAN interface after modem restart | |||
}} | |||
{{var | Build 12.6.0.1--desc | |||
| ;Maintenance: | |||
* Hintergrundfarbe der Benutzeroberfläche wurde angepasst | |||
;Bugfix: | |||
* Fehler behoben, bei welchem Freigegebene OpenVPN Servernetzwerke nicht angezeigt wurden | |||
* Beim Mailrelay ließ sich kein DKIM Signierung Eintrag einstellen | |||
* Unter Umständen konnten IPv4 und IPv6 Adressen vom DHCP Client nicht bezogen werden | |||
| ;Maintenance: | |||
* Background color of the user interface has been adjusted | |||
;Bugfixes | |||
* Fixed a bug where shared OpenVPN server networks were not displayed | |||
* No DKIM signing entry could be set in the mail relay | |||
* Under certain circumstances, IPv4 and IPv6 addresses could not be obtained by the DHCP client }} | |||
{{var | Redesign-Netzwerk--Bild | |||
| Redesign-Netzwerk.png | |||
| Redesign-Netzwerk-en.png }} | |||
{{var | 1=Build 12.6.0--desc | |||
| 2=;Maintenance / Security Bugfix | |||
:Operating System: | |||
* Aktualisierung des Betriebssystems und aller Komponenten | |||
* Aktualisierung des SSH-Dienstes auf Version 9.6p1 ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-48795 CVE-2023-48795]) | |||
* Aktualisierung des DHCP-Clients | |||
* Das SOC wird nicht mehr unterstützt {{Alert|fa=fas}} | |||
;'''Redesign des Webinterfaces''' {{Bild|{{#var:Redesign-Netzwerk--Bild}}|Menü: Netzwerk / Netzwerkkonfiguration|class=Bild-t noborder}} | |||
* {{c|Benutzeroberfläche wurde mit einem neuen Design vollständig überarbeitet|blau|class=inline | fw=bold}} | |||
* Konfiguration lässt sich mithilfe einer Tastenkombination speichern {{info|1=<span class="mw8 inline-block"><span class=key>Strg</span> <span class=key>alt</span> <span class=key>s</span> <br>bzw.<span class=key>ctrl</span> <span class=key>cmd <i class="fal fa-command"></i></span> <span class=key>s</span></span>}} | |||
* Es lassen sich vordefinierte [[UTM/NET/Syslog | Syslog]] Filter im Live-Log auswählen | |||
* Der aktuelle [[USC/UTM | USC]] Verbindungsstatus wird angezeigt | |||
* Ein bereits vorhandener [[UTM/AUTH/Benutzerverwaltung#Support-Benutzer | Support-Benutzer]] lässt sich löschen und neu anlegen | |||
* Der "Portfilter" wurde in [[UTM/RULE/Paketfilter | Paketfilter]] umbenannt | |||
* Das DHCP-[[UTM/Widgets | Widget]] wurde durch einen neuen Netzwerktopologie-Dialog ersetzt | |||
;Features | |||
: Neue Anwendungen: | |||
* Ein [[UTM/APP/IGMP_Proxy | IGMP-Proxy-Dienst ]] lässt sich konfigurieren | |||
* Der Nameserver hat einen [[UTM/APP/Nameserver#mDNS-Repeater | MDNS-Repeater]] | |||
:Wireguard: | |||
* Import von bestehenden [[UTM/VPN/WireGuard-S2E#Konfiguration_UTM | Konfigurationen]] im WireGuard Assistenten | |||
* Der Status der impliziten [[UTM/VPN/WireGuard | Wireguard-Regel]] wird mit angezeigt | |||
* X25519 Schlüssel lassen sich mit einem Private-Key für [[UTM/VPN/WireGuard-Peer | Peers]] konfigurieren | |||
:IPSec: | |||
* Es lassen sich mehrere [[UTM/VPN/SSL_VPN_zu_IPSec-Ziel | Ciphersuite-Optionen]] für IKEv2 auswählen | |||
:Cluster: | |||
* Der [[UTM/CLI/System | ''system info'']] Befehl gibt auch Informationen zum aktuellen Cluster-Status aus | |||
: Fallback: | |||
* Es sind jetzt mehrere [[UTM/NET/Fallback#Fallback | Ping Check]] Ziele möglich | |||
:SNMP: | |||
* Name einer OpenVPN-Verbindung lässt sich mit [[UTM/NET/SNMP | SNMP]] auslesen | |||
:Mailfilter: | |||
* Anhand von ausgewählten E-Mails lassen sich [[UTM/APP/Mailfilter#Tags | Patterns]] zum gezielten Blocken erstellen | |||
* Erkennung von möglicherweise gefälschten [[UTM/APP/Mailfilter#Kriterien | Links]] in E-Mails wurde hinzugefügt | |||
:Alerting Center: | |||
* [[UTM/AlertingCenter#Funktionstest | Testberichte]] lassen sich manuell abschicken | |||
:Paketfilter: | |||
* Automatisch generierte Gruppen sind [[UTM/RULE/Paketfilter | konfigurierbar]] | |||
:Schlüssellängen: | |||
* [[UTM/AUTH/Zertifikate-ACME#ACME-Zertifikate |ACME Account-Schlüssellänge]] lässt sich einstellen | |||
* Die Schlüssellänge ist bei der Erstinstallation für [[UTM/AUTH/Zertifikate#CA_erstellen | CA und Serverzertifikat]] einstellbar | |||
:Neue Funktionen: | |||
* Statische IPv6-Routen mit einer Gateway-IP lassen sich einer Schnittstelle direkt zuordnen | |||
* Beim Verändern von Schnittstellen können betroffene [[UTM/NET/Ethernet#Anlegen_einer_Ethernet-Schnittstelle | Netzwerkobjekte]] dynamisch angepasst werden | |||
* Beim Router Advertisement lässt sich einstellen, ob sowohl IPv4 und IPv6 Adressen vergeben werden sollen oder nur IPv4 | |||
* Radius Timeout für SSL-RW OpenVPN Verbindungen ist über das CLI konfigurierbar | |||
* Verwendung des Provider DNS-Servers lässt sich beim [[UTM/APP/Nameserver | Nameserver Dienst]] ein- und ausschalten | |||
;Bugfixes | |||
* Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert | |||
* Authentifizierung mit E-Mail-Adressen funktionierte nicht mit Entra ID (Azure AD) | |||
* Doppelte Leerzeichen im Namen einer CA verhinderten das Laden von IPSec-Verbindungen | |||
* Beim "DHCP Lease hinzufügen" Dialog wurden Doppelpunkte im Leasenamen für IPv6-Verbindungen vorgeschlagen | |||
* Proxy-Widget Statistiken wurden nicht vollständig aktualisiert | |||
* Im Alerting Center Log wurden einzelne Platzhalter nicht richtig ersetzt | |||
* PPTP-Interface hinzufügen Fehlermeldung wurde korrigiert | |||
| 3=;Maintenance / Security Bugfix | |||
:Operating System: | |||
* Update of the operating system and all components | |||
* Update of the SSH service to version 9.6p1 ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-48795 CVE-2023-48795]) | |||
* Update of the DHCP client | |||
* The SOC feature is no longer supported{{Alert|fa=fas}} | |||
;'''Redesign of the Webinterfaces''' {{Bild|{{#var:Redesign-Netzwerk--Bild}}|Menu: Network / Network configuration|class=Bild-t noborder}} | |||
* {{c|User interface has been completely revised with a new design|blau|class=inline | fw=bold}} | |||
* Configuration can be saved using a key combination {{info|1=<span class="mw8 inline-block"><span class=key>Ctrl</span> <span class=key>alt</span> <span class=key>s</span> <br>resp.<span class=key>Ctrl</span> <span class=key>cmd <i class="fal fa-command"></i></span> <span class=key>s</span></span>}} | |||
* Predefined [{{#var:host}}UTM/NET/Syslog Syslog] filters can be selected in the live log | |||
* The current [{{#var:host}}USC/UTM USC] connection status is displayed | |||
* An existing [{{#var:host}}UTM/AUTH/Benutzerverwaltung#Support_user Support user] can be deleted and created again | |||
* The "Port filter" has been renamed [{{#var:host}}UTM/RULE/Paketfilter Packet filter] | |||
* The DHCP UTM/Widgets Widget] has been replaced by a new network topology dialog | |||
;Features | |||
: New applications: | |||
* A [{{#var:host}}UTM/APP/IGMP_Proxy IGMP proxy service] can be configured | |||
* The name server has a [{{#var:host}}UTM/APP/Nameserver#mDNS-Repeater MDNS-Repeater] | |||
:Wireguard: | |||
* Import of existing [{{#var:host}}UTM/VPN/WireGuard-S2E#Configuration_UTM Configurations] in the WireGuard assistant | |||
* The status of the implicit [{{#var:host}}UTM/VPN/WireGuard Wireguard rule] is displayed with | |||
* X25519 keys can be configured with a private key for [{{#var:host}}UTM/VPN/WireGuard-Peer peers] | |||
:IPSec: | |||
* Multiple [{{#var:host}}UTM/VPN/SSL_VPN_zu_IPSec-Ziel ciphersuite options] can be selected for IKEv2 | |||
:Cluster: | |||
* The [{{#var:host}}UTM/CLI/System ''system info''] command also provides information on the current cluster status | |||
:Fallback: | |||
* Now, multiple [{{#var:host}}UTM/NET/Fallback#Fallback ping check] destinations are possible | |||
:SNMP: | |||
* Name of an OpenVPN connection can be read out via [{{#var:host}}UTM/NET/SNMP snmp] | |||
:Mailfilter: | |||
* [{{#var:host}}UTM/APP/Mailfilter#Tags Patterns] for targeted blocking can be created based on selected emails | |||
* Detection of potentially forged [{{#var:host}}UTM/APP/Mailfilter#Kriterien links] in emails has been added | |||
:Alerting Center: | |||
* [{{#var:host}}UTM/AlertingCenter#Funktionstest Test reports] can be sent manually | |||
:Packetfilter: | |||
* Automatically generated groups are [{{#var:host}}UTM/RULE/Paketfilter configurable] | |||
:Key lengths: | |||
* [{{#var:host}}UTM/AUTH/Zertifikate-ACME#ACME Certificates ACME account key length] can be set | |||
* The key length can be set during the initial installation for [{{#var:host}}UTM/AUTH/Zertifikate#Create_CA CA and Server certificate] | |||
:New functions: | |||
* Static IPv6 routes with a gateway IP can be assigned directly to an interface | |||
* When changing interfaces, affected [{{#var:host}}UTM/NET/Ethernet#Create_an_Ethernet_interface Network_objects] can be adapted dynamically | |||
* Router Advertisement allows you to set whether both IPv4 and IPv6 addresses should be assigned for the respective interface or only IPv4 | |||
* Radius timeout for SSL-RW OpenVPN connections can be configured via CLI | |||
* Use of the provider DNS server can be switched on and off in the [{{#var:host}}UTM/APP/Nameserver name server] service | |||
;Bugfixes | |||
* Fixed visual errors and user interface hints in some dialogs | |||
* Authentication with email addresses did not work with Entra ID (Azure AD) | |||
* Double spaces in the name of a CA prevented the loading of IPSec connections | |||
* In the "Add DHCP Lease" dialog, colons were suggested in the lease name for IPv6 connections | |||
* Proxy widget statistics were not fully updated | |||
* Individual placeholders were not replaced correctly in the Alerting Center log | |||
* PPTP interface add error message has been corrected }} | |||
{{var | Build 12.5.5--desc | |||
| | |||
;Security Bugfix / Maintenance | |||
* Behobene Sicherheitslücke im Zusammenhang mit der Mailrelay-Anwendung ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-51764 CVE-2023-51764]) | |||
| ;Security Bugfix / Maintenance | |||
* Fixed Security vulnerability related to the mail relay application ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-51764 CVE-2023-51764]) }} | |||
{{var | Build 12.5.4.1--desc | |||
| | |||
;Security Bugfix / Maintenance | |||
* Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49286 CVE-2023-49286], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49285 CVE-2023-49285], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-50269 CVE-2023-50269]) | |||
| | |||
;Security Bugfix / Maintenance | |||
* Fixed vulnerabilities related to HTTP proxy service ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49286 CVE-2023-49286], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49285 CVE-2023-49285], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-50269 CVE-2023-50269]) }} | |||
{{var | CVE-2023-50269--info | |||
| CVE-2023-50269: ''Squid-Proxy - Denial of Service durch Endlosschleife''<p>{{whitebox|follow_x_forwarded_for}}</p>Sicherheitslücke durch Patch beseitigt<br>CVE-Kategorisierung erfolgte erst später.<br><small>Eintrag ergänzt am 15.12.2023</small> | |||
| CVE-2023-50269: ''Squid-Proxy - Denial of service through endless loop''<p>{{whitebox|follow_x_forwarded_for}}</p>Security gap eliminated by patch<br>CVE categorization took place at a later date.<br><small>Entry completed on 15.12.2023</small> }} | |||
{{var | Build 12.5.4--desc | |||
| | |||
;Bugfixes | |||
* Bei Verwendung des Traceroute Netzwerktools wurde unter Umständen das Ergebnis stark zeitverzögert oder gar nicht angezeigt | |||
* Beim Mailscanner wird das FILTERED Flag im Syslog nun nur noch angezeigt, falls der Body verändert wurde sowie bei Anwendung der TNEF-Decodierung | |||
* SNI Validierung beim HTTP Proxy ließ sich nicht über das Administrations-Webinterface deaktivieren | |||
* Fehler behoben, durch den keine Verbindung zu einem SSL-VPN Tunnelblick Client aufgebaut werden konnte | |||
| | |||
;Bugfixes | |||
* When using the traceroute network tool, the result was sometimes displayed with a long delay or not at all | |||
* The mail scanner FILTERED flag is now only displayed in the syslog if the body has been changed or if TNEF decoding is used | |||
* SNI validation for the HTTP proxy could not be deactivated via the administration web interface | |||
* Fixed a bug where no connection to an SSL VPN tunnelblick client could be established }} | |||
{{var | 1=Build 12.5.3.1--desc | |||
| 2= | |||
;Bugfixes | |||
* Unter Umständen konnten IPSec Verbindungen eine erhöhte Systemlast hervorrufen | |||
* Fehler behoben, bei dem eine Authentifizierung am Captive Portal mit abgelaufenen Captive Portal Benutzern weiterhin möglich war | |||
* Captive Portal Portfilter Regel wurde nicht mehr erkannt und konnte nicht mehr angelegt werden | |||
* Eine SNMP-Abfrage des IPSec Status war nach einem Neustart nicht möglich | |||
| 3= | |||
;Bugfixes | |||
* Under certain circumstances IPSec connections could cause an increased system load | |||
* Fixed a bug where authentication on captive portal with expired captive portal users was still possible | |||
* Captive Portal portfilter rule was no longer recognized and could not be created | |||
* An SNMP query of the IPSec status was not possible after a restart }} | |||
{{var | 1=Build 12.5.3--desc | |||
| 2= | |||
;Maintenance / Security Bugfix | |||
* Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-46784 CVE-2021-46784],[https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41317 CVE-2022-41317])<br>Hinweis: Es liegen nicht für alle korrigierten Sicherheitslücken CVEs vor. | |||
* Aktualisierung von OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4807 CVE-2023-4807]) | |||
* Aktualisierung des Linux-Kernels | |||
* Aktualisierung des Virenscanners | |||
;Bugfixes | |||
* Fehler bei der CLI Autovervollständigung wurde behoben | |||
* Fehler behoben, bei welchem die Wireguard Konfiguration nicht gelöscht wurde | |||
| 3= | |||
;Maintenance / Security Bugfix | |||
* Fixed vulnerabilities related to HTTP proxy service ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-46784 CVE-2021-46784],[https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41317 CVE-2022-41317])<br>Note: CVEs are not available for all corrected vulnerabilities. | |||
* Update of OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4807 CVE-2023-4807]) | |||
* Update of Linux-Kernel | |||
* Virus scanner update | |||
;Bugfixes | |||
* CLI autocomplete bug has been fixed | |||
* Fixed a bug where the Wireguard configuration was not deleted }} | |||
{{var | 1=Build 12.5.2--desc | |||
| 2= | |||
;Maintenance / Security Bugfix: | |||
* Aktualisierung von curl ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38545 CVE-2023-38545]), ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38546 CVE-2023-38546]) | |||
* Aktualisierung von glibc ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4911 CVE-2023-4911]) | |||
* Webserver-Zertifikate werden beim erneuten Generieren und bei einer Neuinstallation mit einer 4096bit-RSA Schlüssellänge erstellt | |||
* Standard RSA Schlüssellänge wird bei einer Neuinstallation für ACME Accounts auf 3072bit erhöht | |||
;Features | |||
:HTTP Proxy: | |||
* Es lassen sich [[UTM/APP/HTTP_Proxy#SSL-Interception | SSL-Interception Ausnahmen für SNI]] aktivieren | |||
:USC: | |||
* Bestimmte USC-Befehle erfordern zum Ausführen einen gesetzten [[USC/UTM | Websession-PIN]] | |||
;Bugfixes | |||
* Fehler behoben, durch den SSL VPN Clientnetzwerke sich nicht bearbeiten ließen | |||
* Unter Umständen wurde der IPSec Status für bestehenden Verbindungen falsch angezeigt | |||
* AD/LDAP Einstellungen unterstützen nun IPv6 | |||
* Ein widerrufenes Client Zertifikat wurde beim Reverse Proxy nicht richtig übermittelt | |||
* Fehler behoben, durch den Benutzernamen mit Leerzeichen nicht mit NTLM Authentifizierung beim HTTP Proxy funktionierten | |||
* Netzwerkobjekte, welche Hostnamen beinhalten, werden im Administrations-Webinterface gekennzeichnet | |||
* Beim HTTP Proxy war es nicht möglich VLAN Adressen als ausgehende IP einzustellen | |||
* Beim Administrations-Webinterface wurden nicht alle Informationen für Netzwerkobjekte angezeigt | |||
* Fehler behoben, durch den eine ACME Zertifikatserneuerung nicht ausgeführt wurde | |||
| 3= | |||
;Maintenance / Security Bugfix | |||
* Update of curl ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38545 CVE-2023-38545]), ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38546 CVE-2023-38546]) | |||
* Update of glibc ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4911 CVE-2023-4911]) | |||
* Web server certificates are now created with a 4096bit RSA key length when regenerating and reinstalling | |||
* Default RSA key length of ACME accounts increased to 3072bit for new installations | |||
;Features | |||
:HTTP Proxy: | |||
* [{{#var:host}}UTM/APP/HTTP_Proxy#SSL-Interception SSL interception exceptions for SNI] can now be configured | |||
:USC: | |||
* Certain USC commands require a set [{{#var:host}}USC/UTM web session PIN] to be executed | |||
;Bugfixes | |||
* Fixed a bug that prevented SSL VPN client networks from being edited | |||
* Under certain circumstances the IPSec status for existing connections was displayed incorrectly | |||
* AD/LDAP now correctly supports IPv6 | |||
* A revoked client certificate was not correctly submitted to the reverse proxy | |||
* Usernames with spaces were unuseable with NTLM authentication for the http proxy | |||
* Network objects containing hostnames will be marked in the administration web interface | |||
* It was not possible to set vlan addresses as outgoing ips for the http proxy | |||
* Not all information for network objects was displayed in the administration web interface | |||
* Fixed a bug that prevented ACME certificate renewal from being executed }} | |||
{{var | 1=Build 12.5.1--desc | |||
| 2= | |||
;Maintenance / Security Bugfix: | |||
* Aktualisierung von Komponenten | |||
* VPN Client wurde auf 2.0.40 aktualisiert | |||
* Reseller Preview Versionen werden nun gesondert kenntlich gemacht | |||
;Features | |||
:Operating System: | |||
* [[UTM/AUTH/Zertifikate | Veraltete kryptografische Algorithmen]] für Zertifikate (SSL Legacy Support) sind im Webinterface konfigurierbar <br>{{Alert}} Es wird nicht empfohlen diese Option zu verwenden | |||
* IPv4/IPv6 ''route hints'' lassen sich nun auch vergeben, wenn die jeweils andere IP Version mit DHCP eingestellt ist | |||
:USC / USR: | |||
* Zu UTMs ohne öffentliche IP-Adresse, die mit dem Portal verbunden sind, kann nun eine Websession geöffnet werden | |||
* [[USC/Websession#Websession_starten_mit_UTM_ab_v12.5.1 | Websessions]] sind nun auch verwendbar, wenn es keinen "admin" Benutzer gibt | |||
:Wireguard: | |||
* Der Wireguard Wizard lässt nun das Ändern des [[UTM/AUTH/Benutzerverwaltung | Endpunkt Ports]] zu | |||
:Mailconnector: | |||
* Bei [[UTM/APP/Mail_Connector#Dienste | Mailconnectorverbindungen]] lässt sich nun die TLS Version einstellen | |||
:Alerting Center | |||
* Für [[UTM/APP/Mailrelay#Signierung | Alerting-Center-E-Mails]] kann nun DKIM aktiviert werden | |||
:Administrations-Webinterface: | |||
* In den [[UTM/AUTH/AD_Anbindung#Erweiterte_Einstellungen | AD/LDAP Einstellungen]] kann nun das selbe LDAP-Attribut für mehrere Attribute verwendet werden | |||
:Sonstiges: | |||
* Option zu [[UTM/VPN/SSL_VPN-Roadwarrior#Erweitert | SSL-VPN]] Verbindungen hinzugefügt, die es ermöglicht, sich von mehreren Quellen mit den gleichen Zugangsdaten einzuwählen | |||
;Bugfixes | |||
* Fehler behoben, durch den sensible Daten im Audit-Log auftauchen konnten | |||
* Es sind nun keine Hostnamen mehr als Fallback-Einstellung zulässig | |||
* Gruppen ohne Berechtigungen konnten nicht mehr gespeichert werden | |||
* Ausnahme der ''Rekey'' und ''Lifetime'' Anpassungen für IKEv1 hinzugefügt | |||
* Fehler behoben, durch den nur noch ein DNS Server im DHCP Pool gespeichert wurde | |||
* Abändern von Benachrichtigungsleveln im Alerting Center wurde unter Umständen nicht korrekt umgesetzt | |||
* E-Mail Adressen von öffentlichen Ordnern auf einem Exchange wurden nicht mehr korrekt ausgelesen | |||
* Router Advertisement wurde bei der Erstellung eines IPv6-DHCP-Pools nicht korrekt berücksichtigt | |||
* Alerting Center Berichte wurden auch verschickt, wenn keine Vorfälle aufgetreten sind | |||
* Fehler behoben durch den IPv6 Adressen nur mit eckigen Klammern bei den AD/LDAP Einstellungen verwendet werden konnten | |||
| 3= | |||
;Maintenance / Security Bugfix | |||
* Updated Components | |||
* VPN client updated to version 2.0.40 | |||
* Reseller preview versions are now marked as such in the update dialog | |||
;Features | |||
:Operating System: | |||
* [[UTM/AUTH/Zertifikate | SSL legacy support]] can now be configured via webinterface. It is not recommended to use this option | |||
* IPv4/IPv6 route hints can now be assigned even if the respective other ip version is configured for dhcp | |||
:USC / USR: | |||
* UTMs without a public address, that are connected to the portal, can now be connected to via websession | |||
* [[USC/Websession#Websession_starten_mit_UTM_ab_v12.5.1 | Websessions]] can now be used by other users when there is no "admin" | |||
:Wireguard: | |||
* [[UTM/AUTH/Benutzerverwaltung | Endpoint port]] can now be changed during the wireguard wizard | |||
:Mailconnector: | |||
* TLS Version can now be changed for [[UTM/APP/Mail_Connector#Dienste | mailconnector]] connections | |||
:Alerting Center | |||
* DKIM can now be activated for [[UTM/APP/Mailrelay#Signierung | alerting center mails]] | |||
:Administrations-Webinterface: | |||
* When configuring [[UTM/AUTH/AD_Anbindung | AD/LDAP]] you can now use the same LDAP attribute for multiple local attributes | |||
:Other: | |||
* Option added to [[UTM/VPN/SSL_VPN-Roadwarrior#Erweitert | SSL-VPN]] connections to allow multiple roadwarriors to connect using the same credentials | |||
;Bugfixes | |||
* Error fixed that could lead to sensitive data being shown in the audit log | |||
* Hostnames are no longer allowed as fallback targets | |||
* Groups without any permissions could not be saved | |||
* Exception for IKEv1 added for the rekey and lifetime adaptation | |||
* Error fixed that caused only one DNS server to be saved in DHCP pools | |||
* Changing notification levels in the alerting center was not done correctly | |||
* Mail addresses of public folders on exchange servers were not correctly read out | |||
* Router advertisement was not correctly added when creating an IPv6 dhcp pool | |||
* Alerting center reports were sent even if there was nothing to report | |||
* IPv6 adresses could only be added with square brackets during AD/LDAP configuration | |||
}} | |||
{{var | Build 12.4.4.1--desc | |||
|* Security Bugfix: ClamAV wurde aktualisiert ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40477 CVE-2023-40477]) | |||
* Maintenance: IPSec strongswan wurde aktualisiert | |||
|* Security Bugfix: ClamAV has been updated ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40477 CVE-2023-40477]) | |||
* Maintenance: IPSec strongswan was updated}} | |||
{{var | Hinweis Mail-Security-Komponente | |||
| Kommunikation in das Internet über Port 55555 ggf. erforderlich | |||
| Communication to the Internet via port 55555 may be required. }} | |||
{{var | Hinweis Mail-Security-Komponente--info | |||
| Durch Aktualisierung einer Mail-Security-Komponente ab v12.3.1 ist es unter Umständen nötig sicherzustellen, daß die Securepoint UTM mit dem TCP Port 55555 in das Internet kommunizieren kann. | |||
| An update to a mail-security-component in v12.3.1 may make it necessary for the Securepoint UTM to connect to the internet via port 55555 }} | |||
{{var | 1=Build 12.5.0--desc | |||
| 2=<p> | |||
;Maintenance / Security Bugfix: | |||
* Aktualisierung des Nameservers ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2911 CVE-2023-2911], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2828 CVE-2023-2828], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2829 CVE-2023-2829]) | |||
</p> | |||
<p> | |||
;Features: | |||
:<u>Operating System:</u> | |||
* [[UTM/EXTRAS/Firmware_Update#Firmware_Update | Automatische Firmware Updates]] können nun lokal konfiguriert werden | |||
* [[UTM/AUTH/AD_Anbindung#UTM_mit_Azure_AD_anbinden | Azure]] kann nun zur Benutzerverwaltung angebunden werden<br><i class="fal fa-construction"></i> Known Issue: Das Mailrelay funktioniert noch nicht mit Azure Benutzer Konten<br><i class="fal fa-construction"></i> Known Issue: Azure Benutzer mit MFA Login können nicht verwendet werden | |||
* Zu der vorhandenen Fail2ban Funktion, wurde eine weitere Sicherung eingebaut um falsche[[UTM/Administration#Begrenzung_/_Drosselung_der_Login-Versuche | Login-Versuche]] zu drosseln | |||
:<u>USC / USR:</u> | |||
* Die [[USC/Websession#Websession | Websession]] wird nun durch eine PIN abgesichert<br><i class="fal fa-construction"></i> Known Issue: Websession Login per Benutzermaske funktioniert noch nicht und wird ab Version 12.5.2 implementiert | |||
:<u>IPSec:</u> | |||
* [[UTM/VPN/IPSec-S2S#IKEv2 | Rekeying und Lifetime]] werden nach dem Update auf Version 12.5.0 für eine verbesserte Kompatibilität angepasst | |||
:<u>WireGuard:</u> | |||
* [[UTM/Widgets#WireGuard | Widget für WireGuard-Verbindungen]] zeigt nun auch Benutzern zugeteilte Verbindungen mit Status an | |||
:<u>Cluster:</u> | |||
* Cluster [[UTM/NET/Cluster-Management#Wartungsmodus | Wartungsmodus]] lässt sich nun im neuen Reiter Management einstellen | |||
:<u>HTTP Proxy:</u> | |||
* Option um Verbindungsorientiere [[UTM/APP/HTTP_Proxy#Allgemein | Microsoft-Authentifizierung]] weiterzuleiten lässt sich konfigurieren | |||
:<u>DHCP:</u> | |||
* Ein [[UTM/NET/DHCP_Server-v4#Reiter_Einstellungen | next-server]] lässt sich nun bei DHCP Verbindungen einstellen | |||
:<u>Mailconnector:</u> | |||
* [[UTM/APP/Mail_Connector#Dienste | Prüfung von Zertifikaten]] ist nun konfigurierbar | |||
:<u>Mailfilter:</u> | |||
* Eine neue Kategorie "Unbekannt" ist nun im [[UTM/APP/Webfilter#Regel_hinzufügen | Web- und Mailfilter]] verfügbar | |||
:<u>Alerting Center:</u> | |||
* [[UTM/AlertingCenter#Über_Ereignisse_gesteuerte_Benachrichtigungen | Neue Benachrichtigung]] für das Ereignis ''Fehlgeschlagene Websession-PIN-Verifikationen'' | |||
:<u>Administrations-Webinterface:</u> | |||
* Einrichtung von Netzwerkobjekten [[UTM/NET/PPPoE | PPPoE und VDSL]] wurde zusammengefasst | |||
* Ablaufdatum von importierten CRLs wird nun angezeigt | |||
* Passwörter lassen sich nun ein- und ausblenden | |||
* Die [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren | Konfiguration für das Export-Ziel und -Format]] von Schlüsseln wurde überarbeitet | |||
:<u>Sonstiges:</u> | |||
* Für Neuinstallationen ist die [[UTM/RULE/Implizite_Regeln#Kein_NAT | implizite Regel "Kein NAT für IPSec-Verbindungen"]] für IPSecTraffic standardmäßig aktiviert | |||
* Der Validator von extc wurde erweitert um ungültige Einträge anzuzeigen | |||
* Deaktivierung CLAMAV Virenscan Engine | |||
</p> | |||
<p> | |||
;Bugfixes: | |||
* Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: Erstinstallation, Netzwerkobjekte, Wireguard, Portfilter | |||
:<u>Sonstiges:</u> | |||
* Fehler behoben, durch welchen eine falsche Absender Adresse für Alerting-Center E-Mails gesetzt wurde | |||
* DHCP Pools mit einem "global" Namen wurden nicht in der Benutzeroberfläche dargestellt | |||
* Eine gleichzeitige [[UTM/VPN/IPSec-DHCP | Konfiguration eines DHCP Servers und einer DHCP Schnittstelle]] wird nun für IPSec unterbunden | |||
* Fehler im Mailarchiv behoben bei welchem eine Message-ID als Absender angezeigt wurde | |||
* Eine gesetzte Mailfilter-Regel wurde unter Umständen nicht richtig umgesetzt | |||
* Eingeloggte Administratoren konnten ihren eigenen Benutzer löschen oder umbenennen | |||
</p> | |||
| 3=<p> | |||
;Maintenance / Security Bugfix: | |||
* Nameserver update | |||
</p> | |||
<p> | |||
;Features: | |||
:<u>Operating System:</u> | |||
* Automatic system updates can now be configured local | |||
* [[UTM/AUTH/AD_Anbindung#UTM_mit_Azure_AD_anbinden | Azure]] can now be used for user management | |||
* Known Issue: The mailrelay is not operable with azure users yet | |||
* Known Issue: Azure users with MFA login can not be used yet | |||
* A limit for failed [[UTM/Administration#Begrenzung_/_Drosselung_der_Login-Versuche | login attempts]] was implemented | |||
:<u>USC / USR:</u> | |||
* A [[USC/Websession#Websession | websession]] can now be secured with a PIN | |||
* Known Issue: Websession login via user login mask is not yet operational and will be implemented by version 12.5.2 | |||
:<u>IPSec:</u> | |||
* [[UTM/VPN/IPSec-S2S#IKEv2 | Rekeying and lifetime]] will be adapted for better compatibility with an update to version 12.5.0 | |||
:<u>WireGuard:</u> | |||
* [[UTM/Widgets#WireGuard | WireGuard widget]] will now show user assigned connections with status | |||
:<u>Cluster:</u> | |||
* Cluster [[UTM/NET/Cluster-Management#Wartungsmodus | maintenance mode]] can now be toggled in the new management tab | |||
:<u>HTTP Proxy:</u> | |||
* Option to forward [[UTM/APP/HTTP_Proxy#Allgemein | Microsoft connection oriented authentication]] was added | |||
:<u>DHCP:</u> | |||
* DHCP server can now be configured with a [[UTM/NET/DHCP_Server-v4#Reiter_Einstellungen | next-server]] | |||
:<u>Mailconnector:</u> | |||
* Verification of certificates can now be configured | |||
:<u>Mailfilter:</u> | |||
* A new category "Unknown/Unbekannt" was added to the [[UTM/APP/Webfilter#Regel_hinzufügen | web- and mailfilter]] | |||
:<u>Alerting Center:</u> | |||
* [[UTM/AlertingCenter#Über_Ereignisse_gesteuerte_Benachrichtigungen | A new alert]] was added for failed websession PIN verifications | |||
:<u>Administrations-Webinterface:</u> | |||
* Adding a new network object using [[UTM/NET/PPPoE | PPPoE and VDLS]] was merged | |||
* Expiration date of imported CRLs is now shown | |||
* Passwords can now be toggled visible | |||
* [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren | Export destination]] selection for keys was improved | |||
:<u>Other:</u> | |||
* New installations have the implied rule "Disable Hide NAT" activated by default | |||
* Extc validator was modified to prevent invalid inputs | |||
* Deactivation CLAMAV Virus Scan Engine | |||
</p> | |||
<p> | |||
;Bugfixes: | |||
* Visual bugs and new hints were corrected and added in the admin ui: Installation wizard, network configuration, wireguard, portfilter | |||
:<u>Other:</u> | |||
* Error was fixed that caused a wrong sender address to be used for alerting-center mails | |||
* DHCP pools with a global name were not shown in the admin ui | |||
* Simultaneous configuration of a DHCP server and a DHCP interface for IPSec will now be prohibited | |||
* Error was fixed that showed a message-id as the sender in the mailarchive | |||
* A new mailfilter rule was not used under certain circumstances | |||
* Logged in administrators were able to delete or rename their own user | |||
</p> }} | |||
{{var | Build 12.4.4--desc | |||
|;Feature: | |||
:<u>Operating System:</u> | |||
* Wurde bisher keine globale E-Mail Adresse in der UTM festgelegt, wird diese nun abgefragt | |||
;Bugfix: | |||
* Fehler behoben, der bei UTMs mit konfiguriertem Full Cone NAT unter Umständen zu unkontrollierten Neustarts führte | |||
* Fehler behoben, durch den der letzte Benutzer mit Administrator-Rechten nicht bearbeitet werden konnte | |||
* Im Regel hinzufügen Dialog wird QoS nun korrekt deaktiviert | |||
|;Feature: | |||
:<u>Operating System:</u> | |||
* If no global email address has been set yet, it will be requested upon login | |||
;Bugfix: | |||
* UTMs with configured full cone NAT could run into uncontrolled reboots | |||
* The last user with administration-rights could not be edited | |||
* QoS is now correctly deactivated in the add rule dialog }} | |||
{{var | Hinweis Globale Mailadresse | |||
| Unter {{Menu|Netzwerk|Servereinstellungen}} '''muss''' eine {{b|Globale E-Mail Adresse}} hinterlegt sein.<br>Andernfalls starten Mailconnector und Proxy nicht! | |||
| Under {{Menu|Network|Appliance Settings}} '''must''' be a {{b|Global email address}}.<br>Otherwise Mailconnector and Proxy will not start! }} | |||
{{var | Build 12.4.2.1--desc | |||
|* Bugfix: Fehler behoben durch den bei einer automatischen Aktualisierung über die Unified Security Console unter Umständen das Update nicht automatisch finalisiert wurde | |||
|* Bugfix: When using automatic updates via Unified Security Console an update may, under certain circumstances, not be automatically finalized }} | |||
{{var | Build 12.4.2--desc | |||
|* Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen. | |||
|* This version has been approved for end customers and is intended for use in production environments. }} | |||
{{var | Build 12.4.1--desc | |||
|; Features: | |||
:<u>SSL-VPN:</u> | |||
* [[UTM/VPN/SSL_VPN-Roadwarrior#Renegotiation | Renegotiation Optionen bei SSL-VPN Roadwarrior-Verbindungen]] wurden um die Option "12 Stunden" erweitert | |||
* Option zu [[UTM/VPN/SSL_VPN-S2S | SSL-VPN Server Site to Site Konfigurationen]] hinzugefügt, bei der nur explizit zugewiesenen Zertifikaten eine Verbindung erlaubt wird | |||
:<u>WireGuard:</u> | |||
* Der WireGuard Wizard wurde um die Option ergänzt, per [[UTM/VPN/WireGuard-Peer | AD konfigurierte Peers zu berücksichtigen]] | |||
:<u>Mailfilter:</u> | |||
* [[UTM/APP/Mailfilter#Regel_hinzufügen | Neue Kategorie "Untersuchung"]] wurde zum Mailfilter hinzugefügt, basierend auf dem neuen Spamfilter | |||
* [[UTM/APP/Webfilter-CF_Kategorien | Threat Intelligence Filter]] wurde nun auch für UTM VPN Edition aktiviert | |||
:<u>Alerting Center:</u> | |||
* Im Alerting Center Report werden nun in Kürze ablaufende Zertifikate vermerkt | |||
* Im Alerting Center lässt sich nun ein [[UTM/AlertingCenter#Umgehender_E-Mail_Bericht | alternativer Empfänger für Berichte konfigurieren]] | |||
:<u>OTP:</u> | |||
* Für OTP lassen sich nun [[UTM/AUTH/OTP#Benutzer_mit_OTP_einrichten | SHA1, SHA256 oder SHA512]] einstellen | |||
:<u>Cluster:</u> | |||
* Für Cluster gibt es nun die Option, dass [[UTM/NET/Cluster-Updateverfahren | neu heruntergeladene Firmwareupdates automatisch, oder bereits aktivierte Firmwareupdates per Knopfdruck, auf der jeweils anderen UTM bereitgestellt werden]] | |||
<p> | |||
; Bugfixes: | |||
* Fehler behoben durch den leere E-Mailgruppen auf einem AD nicht mehr korrekt erkannt wurden | |||
* Die Einstellung "DNS Anfragen nur aus gerouteten und VPN-Netzwerken erlauben" wurde erst nach Neustart des DNS-Services wirksam | |||
* Beim Umbenennen von Benutzern konnte es zu Fehlern kommen | |||
* Fehler behoben durch den einige Namen für ACME Zertifikate fälschlicherweise als ungültig erkannt wurden | |||
* Eine PPP-Verbindung wurde immer mit IPv6 gestartet | |||
* Bei Clientless VPN Verbindungen wurde bei Textübertragungen das letzte Zeichen entfernt | |||
* Netzwerkobjekte mit IPv6 Adressen konnten nicht für Captive Portal verwendet werden | |||
</p> | |||
|; Features: | |||
:<u>SSL-VPN:</u> | |||
* Option "12 hours" was added to [{{#var:host}}UTM/VPN/SSL_VPN-Roadwarrior#Renegotiation renegotiate options for ssl-vpn roadwarrior-connections] | |||
* Option to only allow explicitly assigned certificates for connections was added to [{{#var:host}}UTM/VPN/SSL_VPN-S2S ssl-vpn site to site configurations] | |||
:<u>WireGuard:</u> | |||
* WireGuard wizard now has an option to [{{#var:host}}UTM/VPN/WireGuard-Peer configure a connection using AD-peers] | |||
:<u>Mailfilter:</u> | |||
* [{{#var:host}}UTM/APP/Mailfilter#Regel_hinzufügen New category "investigate" added to mailfilter], based on the new spamfilter | |||
* [{{#var:host}}UTM/APP/Webfilter-CF_Kategorien Threat intelligence filter] is now also active for UTM vpn edition | |||
:<u>Alerting Center:</u> | |||
* The alerting center report now lists soon to expire certificates | |||
* It is now possible to [{{#var:host}}UTM/AlertingCenter#Umgehender_E-Mail_Bericht add an alternative report receiver] to the alerting center | |||
:<u>OTP:</u> | |||
* OTP is now configurable with [{{#var:host}}UTM/AUTH/OTP#Benutzer_mit_OTP_einrichten SHA1, SHA256 and SHA512] | |||
:<u>Cluster:</u> | |||
* Clusters now have the option for [{{#var:host}}UTM/NET/Cluster-Updateverfahren newly downloaded firmware updates to be automatically provisioned to the joined utm]. You can also transfer already activated updates to the joined utm via button | |||
<p> | |||
; Bugfixes: | |||
* Error fixed that lead to empty mailgroups on an AD to not be correctly recognized | |||
* The option "allow dns requests only for routed or vpn networks" was only active after restarting the service manually | |||
* Renaming users could lead to errors | |||
* Some names for ACME certificates were mistakenly flagged as invalid | |||
* PPP-connections were always started with ipv6 | |||
* Text transfers from clientless vpn connections always got their last letter deleted | |||
* Network objects with ipv6 addresses could not be used for captive portal | |||
</p> }} | |||
{{var | Build 12.4.1--Hinweis | |||
| '''Achtung: Durch Aktualisierung der Mail-Security-Komponente, ist es unter Umständen nötig sicherzustellen, das die Securepoint UTM mit dem TCP Port 55555 in das Internet kommunizieren kann.''' | |||
| '''Attention: An update to a mail-security-component may make it necessary for the Securepoint UTM to connect to the internet via port 55555''' }} | |||
{{var | 1=Build 12.4.0--desc | |||
| 2=<p> | |||
;Maintenance / Security Bugfix: | |||
:<u>Operating System:</u> | |||
* Aktualisierung des Betriebssystems und aller Komponenten | |||
* Neue Virusscan Engine wurde hinzugefügt | |||
</p> | |||
<p> | |||
;Features: | |||
:<u>Operating System:</u> | |||
* Kernel wurde auf Version 5.15.x aktualisiert | |||
* In der Benutzeroberfläche lassen sich [[UTM/EXTRAS/Firmware_Update | neue Firmware Updates nun manuell herunterladen]] | |||
:<u>WireGuard:</u> | |||
* Anpassungen und Verbesserungen der Benutzeroberfläche | |||
* [[UTM/Widgets#WireGuard | Neues Widget für WireGuard-Verbindungen]] verfügbar | |||
* Unterstützung für WireGuard-Roadwarriorverbindungen mithilfe von [[UTM/AUTH/Benutzerverwaltung#WireGuard | Benutzer-]]/[[UTM/AUTH/Benutzerverwaltung#WireGuard_2 | Gruppenkonfiguration]] | |||
* [[UTM/AUTH/Benutzerverwaltung#WireGuard | Download für WireGuard Client-Konfigurationen]] als QR-Code sind nun für Benutzer verfügbar | |||
* WireGuard-Verbindungen sind nun über [[UTM/AUTH/AD_Anbindung#Erweiterte_Einstellungen | Benutzer-Attribute eines angebundenen ADs]] konfigurierbar | |||
* Kompatibilität für Cluster Konfigurationen wurde verbessert | |||
:<u>GeoIP:</u> | |||
* [[UTM/RULE/Implizite_Regeln#GeoIP_Einstellungen | Implizite GeoIP Regeln]] lassen sich nun auch via GeoIP-Gruppen anlegen | |||
:<u>ACME:</u> | |||
* Auswahl zwischen [[UTM/AUTH/Zertifikate | systemweiten oder manuell konfigurierten Nameservern für die ACME-Challenges]] lassen sich nun einstellen | |||
:<u>SNMP:</u> | |||
* SNMP Abfragen zu eingestellten nf_conntrack Werten als auch vorliegenden Updates sind nun möglich | |||
* Aktualisierte MIBs stehen zum Download als V3 im RSP bereit | |||
:<u>Alerting Center:</u> | |||
* [[UTM/AlertingCenter | Neue Alert Meldungen]] für GeoIP und nf_conntrack | |||
* Ein vordefinierter [[UTM/AlertingCenter#HTTP_Request | HTTP Request]] lässt sich beim Alerting Center einstellen | |||
* Ein [[UTM/AlertingCenter#Umgehender_E-Mail_Bericht | alternativer Empfänger]] kann den Berichten hinterlegt werden | |||
:<u>Erstinstallation:</u> | |||
* Im [[UTM/CONFIG/Installationsassistent#Schritt_3_-_Intern | Installationsassistenten Schritt 3]] lässt sich eine WLAN Bridge und STP aktivieren | |||
* In [[UTM/CONFIG/Installationsassistent#Schritt_7_-_Zertifikat | Schritt 7]] lassen sich CA und Server Zertifikate direkt über den Wizard generieren | |||
:<u>Portfilter:</u> | |||
* [[UTM/RULE/Portfilter#Portfilterregel | Portfilter Regeln]] lassen sich in der Benutzeroberfläche nun einzeln kopieren | |||
* Für Netzwerkobjekte wird die Anzahl der verfügbaren Seiten angezeigt | |||
* Neu angelegte Netzwerkobjekte werden vor den GeoIP Netzwerkobjekten angefügt | |||
* [[UTM/RULE/Portfilter#Netzwerkobjekte | Netzwerkobjektgruppen und Dienste]] werden nun als Labels in der Benutzeroberfläche dargestellt | |||
* Nach Ablauf eines Support-Benutzers aktualisieren sich die dazugehörigen Portfilter-Regeln automatisch | |||
:<u>Administrations-Webinterface:</u> | |||
* Bei [[UTM/CONFIG/Cloudbackup | Cloudbackups]] wird nun angezeigt, mit welcher UTM Firmware Version diese erstellt wurden | |||
* Beim [[UTM/Widgets#DHCP | DHCP Widget]] werden nun Leases und Netzwerkobjekte angezeigt | |||
* Das [[UTM/Widgets#Appliance | Appliance Widget]] wurde verbessert | |||
</p> | |||
<p> | |||
;Bugfixes: | |||
:<u>Administrations-Webinterface:</u> | |||
* Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: GeoIP, IPSec, Netzwerkobjekte, Mailfilter, SSL-VPN, Benutzerdialog, WireGuard, Webfilter | |||
:<u>Sonstiges:</u> | |||
* Fehler behoben, bei welchem der OpenVPN Dienst eine fehlerhafte Session in der Benutzeroberfläche nicht beendet hat | |||
* Mailfilter Regeln wurden bei der Funktion "Aktuelle Konfiguration drucken" nicht angezeigt | |||
* Fehler behoben, durch welchen viele Syslog Meldungen nach dem Herunterladen einer Firmware angezeigt wurden | |||
* Unter Umständen war das DHCP Relay mit mehr als 8 VLAN Interfaces nicht mehr Funktionsfähig | |||
* In einer Cluster Konfiguration wird nun der DHCP Dienst auf der Spare nicht gestartet wenn er auf deaktiviert steht | |||
</p> | |||
| 3=<p> | |||
;Maintenance / Security Bugfix: | |||
:<u>Operating System:</u> | |||
* Updating the operating system and all components | |||
* New virus scan engine was added | |||
</p> | |||
<p> | |||
;Features: | |||
:<u>Operating System:</u> | |||
* Kernel updated to version 5.15.x | |||
* In the user interface, [{{#var:host}}UTM/EXTRAS/Firmware_Update new firmware updates can now be downloaded manually] | |||
:<u>WireGuard:</u> | |||
* Adjustments and improvements to the user interface | |||
* [{{#var:host}}UTM/Widgets#WireGuard New widget for WireGuard connections] available | |||
* Support for WireGuard roadwarrior connections using [{{#var:host}}UTM/AUTH/Benutzerverwaltung#WireGuard User-]/[{{#var:host}}UTM/AUTH/Benutzerverwaltung#WireGuard_2 group configuration] | |||
* [{{#var:host}}UTM/AUTH/Benutzerverwaltung#WireGuard Download for WireGuard client configurations] as QR code are now available for users | |||
* WireGuard connections are now configurable via [{{#var:host}}UTM/AUTH/AD_Anbindung#Extended_settings user attributes of a connected AD] | |||
* Compatibility for cluster configurations has been improved | |||
:<u>GeoIP:</u> | |||
* [{{#var:host}}UTM/RULE/Implizite_Regeln&uselang=en#GeoIP_settings Implied GeoIP rules] can now also be created via GeoIP groups | |||
:<u>ACME:</u> | |||
* Selection between [{{#var:host}}UTM/AUTH/Zertifikate system-wide or manually configured name servers for the ACME challenges] can now be configured | |||
:<u>SNMP:</u> | |||
* SNMP queries to set nf_conntrack values as well as available updates are now possible | |||
* Updated MIB Files downloadable as V3 via RSP | |||
:<u>Alerting Center:</u> | |||
* [{{#var:host}}UTM/AlertingCenter New alert messages] for GeoIP and nf_conntrack | |||
* A predefined [{{#var:host}}UTM/AlertingCenter#HTTP_Request HTTP Request] can be set in the Alerting Center | |||
* An [{{#var:host}}UTM/AlertingCenter#Immediate_email_report alternative recipient] can be added to the reports | |||
:<u> Initial installation:</u> | |||
* In the [{{#var:host}}UTM/CONFIG/Installationsassistent#Step_3_-_Internal installation wizard step 3] a WLAN bridge and STP can be activated | |||
* In [{{#var:host}}UTM/CONFIG/Installationsassistent#Step_7_-_Certificate Step 7] CA and server certificates can be generated directly via the wizard | |||
:<u>Portfilter:</u> | |||
* [{{#var:host}}UTM/RULE/Portfilter# Portfilter_rule Portfilter rules] can now be copied individually in the user interface | |||
* For network objects the number of available pages is displayed | |||
* Newly created network objects are added before the GeoIP network objects | |||
* [{{#var:host}}UTM/RULE/Portfilter#Network_objects Network object groups and services] are now displayed as labels in the user interface | |||
* After a support user expires, the associated portfilter rules update automatically | |||
:<u>User-Interface:</u> | |||
* [{{#var:host}}UTM/CONFIG/Cloudbackup Cloudbackups] now display with which UTM firmware version they were created | |||
* The [{{#var:host}}UTM/Widgets#DHCP DHCP Widget] now shows leases and network objects | |||
* The [{{#var:host}}UTM/Widgets#Appliance Appliance Widget] has been improved | |||
</p> | |||
<p> | |||
;Bugfixes: | |||
:<u>User-Interface:</u> | |||
* Fixed visual errors and user interface hints in some dialogs: GeoIP, IPSec, Network Objects, Mailfilter, SSL-VPN, User Dialog, WireGuard, Webfilter | |||
:<u> Other:</u> | |||
* Fixed a bug where the OpenVPN service did not terminate an erroneous session in the user interface | |||
* Mailfilter rules were not displayed in the "Print current configuration" function | |||
* Fixed a bug that caused many syslog messages to be displayed after downloading firmware | |||
* Under certain circumstances, the DHCP relay with more than 8 VLAN interfaces was no longer functional | |||
* In a cluster configuration the DHCP service on the spare is not started if it is set to disabled | |||
</p> }} | |||
{{var | Build 12.3.6--desc | |||
|* Security Bugfix: Aktualisierung von OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0286 CVE-2023-0286], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4203 CVE-2022-4203], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0216 CVE-2023-0216], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0217 CVE-2023-0217], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0401 CVE-2023-0401]) | |||
* Maintenance: Unterstützung für OpenVPN mit Legacy-Cipher wurde ermöglicht | |||
* Feature: Beim [[UTM/APP/Reverse_Proxy#Schritt_1_-_Intern | Reverse-Proxy]] lassen sich nun gezielt TLS Versionen einstellen | |||
* Bugfix: Fehler behoben, welcher dafür sorgte das zu viele USR Meldungen in das Audit-Log geschrieben wurden | |||
* Bugfix: Ein Import von Passwort geschützten Zertifikaten war über die Benutzeroberfläche nicht möglich | |||
* Bugfix: Eine Fehlkonfiguration beim DHCP Relay sorgte für eine Fehlfunktion des spnetd Dienstes | |||
* Bugfix: Für IPSec ließ sich eine Verbindung mit einem ecp512bp Cipher nicht in der Benutzeroberfläche einstellen | |||
* Bugfix: Updates für die [[UTM/GeoIP#Datenbank-Update_per_CLI | Geo-IP]] Datenbank werden nun korrekt ausgeführt | |||
|* Security Bugfix: Update of OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0286 CVE-2023-0286], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4203 CVE-2022-4203], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0216 CVE-2023-0216], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0217 CVE-2023-0217], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0401 CVE-2023-0401]) | |||
* Maintenance: Legacy-Ciphers can now be activated for OpenVPN | |||
* Feature: Specific TLS versions can now be selected for the [{{#var:host}}[UTM/APP/Reverse_Proxy##Step_1_-_Internal reverse proxy | |||
* Bugfix: Error fixed that lead to too many usr messages being written to the audit-log | |||
* Bugfix: Password protected certificates could not be imported via the user interface | |||
* Bugfix: A misconfigured dhcp relay would lead to incorrect behavior of the spnetd service | |||
* Bugfix: Ecp512bp cipher could not be seleted for an ipsec connection through the user interface | |||
* Bugfix: Updates for the [{{#var:host}}UTM/GeoIP#Database_update_via_CLI Geo-IP] database are now executed properly}} | |||
{{var | Build 12.3.5--desc | {{var | Build 12.3.5--desc | ||
Zeile 83: | Zeile 977: | ||
* Bugfix: Mobile connection would not use provided login credentials under certain circumstances | * Bugfix: Mobile connection would not use provided login credentials under certain circumstances | ||
* Bugfix: Stability of cloud connection was increased }} | * Bugfix: Stability of cloud connection was increased }} | ||
{{var | Build 12.3.1--Hinweis | {{var | Build 12.3.1--Hinweis Mail-Security-Komponente | ||
| '''Achtung: Durch Aktualisierung | | '''Achtung: Durch Aktualisierung einer Mail-Security-Komponente ab v12.3.1 ist es unter Umständen nötig sicherzustellen, daß die Securepoint UTM mit dem TCP Port 55555 in das Internet kommunizieren kann.''' | ||
| '''Attention: An update to a mail-security-component may make it necessary for the Securepoint UTM to connect to the internet via port 55555''' }} | | '''Attention: An update to a mail-security-component in v12.3.1 may make it necessary for the Securepoint UTM to connect to the internet via port 55555''' }} | ||
{{var | 1=Build 12.2.5.1--desc | {{var | 1=Build 12.2.5.1--desc | ||
| 2=* '''Security Bugfix:''' Kritische Sicherheitslücke behoben. <br>Betroffen sind folgende Versionen: | | 2=* '''Security Bugfix:''' Kritische Sicherheitslücke im Anmeldeprozess des Webinterfaces behoben ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22620 CVE-2023-22620], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22897 CVE-2023-22897]) <br>Betroffen sind folgende Versionen: | ||
<div class="Einrücken2"> | <div class="Einrücken2"> | ||
12.2.5<br> | 12.2.5<br> | ||
Zeile 97: | Zeile 991: | ||
12.2.3.2 Reseller Preview<br> | 12.2.3.2 Reseller Preview<br> | ||
12.2.3.1 Reseller Preview</div> | 12.2.3.1 Reseller Preview</div> | ||
| 3=* Security Bugfix: Critical safety vulnerability fixed. < | | 3=* Security Bugfix: Critical safety vulnerability in the login process of the web interface fixed. ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22620 CVE-2023-22620], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22897 CVE-2023-22897])<br>The following versions are affected: | ||
<div class="Einrücken2"> | <div class="Einrücken2"> | ||
12.2.5<br> | 12.2.5<br> | ||
Zeile 190: | Zeile 1.084: | ||
{{var | Build 12.2.3.2--desc | {{var | Build 12.2.3.2--desc | ||
|* Feature: Das Mailfilterverhalten wurde für Spam-Mails verbessert. | |* Feature: Das Mailfilterverhalten wurde für Spam-Mails verbessert. | ||
* Bugfix: Anpassungen bei den | * Bugfix: Anpassungen bei den SSL-VPN Einstellungen für IPV6 Clients konnten zum Ausschluss von IPV4 Clients über die gleiche Verbindung führen. | ||
* Bugfix: Problem behoben durch den Outlook-Kalender-Dateien in E-Mails fälschlicherweise gefiltert wurden. | * Bugfix: Problem behoben durch den Outlook-Kalender-Dateien in E-Mails fälschlicherweise gefiltert wurden. | ||
* Bugfix: Wireguard Dialoge wurden weiter verbessert und kleinere Fehler behoben. | * Bugfix: Wireguard Dialoge wurden weiter verbessert und kleinere Fehler behoben. | ||
Zeile 196: | Zeile 1.090: | ||
* Bugfix: Problem behoben durch das Netzwerkschnittstellen nicht mehr editiert werden konnten. | * Bugfix: Problem behoben durch das Netzwerkschnittstellen nicht mehr editiert werden konnten. | ||
|* Feature: Mailfilter performance enhanced for spam-mails. | |* Feature: Mailfilter performance enhanced for spam-mails. | ||
* Bugfix: Specific | * Bugfix: Specific SSL-VPN settings for IPV6 clients could lead to IPV4 clients being refused over the same connection. | ||
* Bugfix: Problem fixed that lead to outlook-calendar-files being filtered from mails. | * Bugfix: Problem fixed that lead to outlook-calendar-files being filtered from mails. | ||
* Bugfix: Fixed smaller errors in wireguard dialog. | * Bugfix: Fixed smaller errors in wireguard dialog. | ||
Zeile 216: | Zeile 1.110: | ||
GeoIP: | |||
* Feature: Wenn aufgrund eines Fehlers GeoIP-Objekte neu initialisiert werden müssen, wird nun über das [[UTM/AlertingCenter#Über_Ereignisse_gesteuerte_Benachrichtigungen | Alerting Center]] eine Warnmeldung ausgegeben | * Feature: Wenn aufgrund eines Fehlers GeoIP-Objekte neu initialisiert werden müssen, wird nun über das [[UTM/AlertingCenter#Über_Ereignisse_gesteuerte_Benachrichtigungen | Alerting Center]] eine Warnmeldung ausgegeben | ||
Zeile 318: | Zeile 1.212: | ||
GeoIP: | |||
* Feature: The [{{#var:host}}UTM/AlertingCenter#Event-based_notifications Alerting-Center] will send out a warning if GeoIP-Objects have to be reinitialized due to an error | * Feature: The [{{#var:host}}UTM/AlertingCenter#Event-based_notifications Alerting-Center] will send out a warning if GeoIP-Objects have to be reinitialized due to an error | ||
Zeile 438: | Zeile 1.332: | ||
* Maintenance: VPN Client updated }} | * Maintenance: VPN Client updated }} | ||
{{var | Build 12.2.2.4--desc | {{var | Build 12.2.2.4--desc | ||
|* Bugfix: Fehler in den impliziten | |* Bugfix: Fehler in den impliziten GeoIP-Regeln behoben | ||
* Bugfix: Fehler behoben durch den Cluster-Konfigurationen bei UEFI Installationen nicht synchronisieren | * Bugfix: Fehler behoben durch den Cluster-Konfigurationen bei UEFI Installationen nicht synchronisieren | ||
* Bugfix: Es konnten mehrere Wireguard-Verbindungen mit dem gleichen Listening-Port angelegt werden | * Bugfix: Es konnten mehrere Wireguard-Verbindungen mit dem gleichen Listening-Port angelegt werden | ||
* Bugfix: Die Validierung im Wireguard-Dialog wurde überarbeitet | * Bugfix: Die Validierung im Wireguard-Dialog wurde überarbeitet | ||
|* Bugfix: Fixed a bug in the implied | |* Bugfix: Fixed a bug in the implied GeoIP rules | ||
* Bugfix: Fixed a bug where cluster configurations do not synchronize on UEFI installations | * Bugfix: Fixed a bug where cluster configurations do not synchronize on UEFI installations | ||
* Bugfix: Multiple wireguard connections could be configured with the same listening port | * Bugfix: Multiple wireguard connections could be configured with the same listening port | ||
Zeile 492: | Zeile 1.386: | ||
* Bugfix: Unter Umständen war der HTTP Proxy nach einer längeren Laufzeit nicht mehr funktionstüchtig | * Bugfix: Unter Umständen war der HTTP Proxy nach einer längeren Laufzeit nicht mehr funktionstüchtig | ||
* Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert | * Maintenance: ClamAV-Virenscan-Engine wurde aktualisiert | ||
* Maintenance: Aktualisierungen von OpenVPN {{ | * Maintenance: Aktualisierungen von OpenVPN {{Alert}}Änderungen der [[UTM/VPN/SSL_VPN-Roadwarrior#Verschl.C3.BCsselung | Cipher für den Default-Wert]] | ||
* Maintenance: Aktualisierungen der Appliance Bilder für RC340 | * Maintenance: Aktualisierungen der Appliance Bilder für RC340 | ||
| 3=* '''Security Bugfix:''' Kernel update. ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-CVE-2022-0847 CVE-CVE-2022-0847]) | | 3=* '''Security Bugfix:''' Kernel update. ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-CVE-2022-0847 CVE-CVE-2022-0847]) | ||
Zeile 514: | Zeile 1.408: | ||
* Bugfix: In some circumstances the HTTP proxy was not working after a prolonged run-time | * Bugfix: In some circumstances the HTTP proxy was not working after a prolonged run-time | ||
* Maintenance: ClamAV virus scanning engine has been updated | * Maintenance: ClamAV virus scanning engine has been updated | ||
* Maintenance: Update of OpenVPN {{ | * Maintenance: Update of OpenVPN {{Alert}} Changes to [[UTM/VPN/SSL_VPN-Roadwarrior#Verschl.C3.BCsselung | Cipher of default value]] | ||
* Maintenance: Appliance image updates for RC340 }} | * Maintenance: Appliance image updates for RC340 }} | ||
Zeile 775: | Zeile 1.669: | ||
* Updated selection of available encryption algorithms for IPSec }} | * Updated selection of available encryption algorithms for IPSec }} | ||
{{var | Betroffene Komponente | |||
| Betroffene Komponente | |||
| Affected components }} | |||
{{var | Netzwerk – DHCP Client | |||
| Network - DHCP Client | |||
| Network - DHCP Client }} | |||
{{var | Netzwerk – DHCP Client--desc | |||
| Bezieht die UTM eine IPv4-Adresse per DHCP und es ist eine Relay Agent-IP-Adresse (giaddr) gesetzt, wird die IP-Adresse von der UTM nicht verwendet. | |||
| If the UTM obtains an IPv4 address via DHCP and a relay agent IP address (giaddr) is set, the IP address is not used by the UTM. }} | |||
{{var | Netzwerk – DHCP Client--workaround | |||
| Es ist kein Workaround verfügbar. Der Fehler wird in der Version 12.6.0.1 korrigiert. | |||
| There is no workaround available. The error will be corrected in version 12.6.0.1. }} | |||
{{var | SSLVPN – Servernetzwerke | |||
| SSLVPN – Servernetzwerke | |||
| SSLVPN - Server networks }} | |||
{{var | SSLVPN – Servernetzwerke--desc | |||
| Die freigegebenen Servernetzwerke werden im Dialog SSL-VPN bearbeiten nicht angezeigt und könnten bei einem Speichervorgang überschrieben werden. | |||
|The shared server networks are not displayed in the Edit SSL VPN dialog and could be overwritten during a save operation. }} | |||
{{var | SSLVPN – Servernetzwerke--workaround | |||
| Die SSLVPN-Instanz kann per CLI editiert werden. ({{code|openvpn set id…}}) | |||
| The SSLVPN instance can be edited via CLI. ({{code|openvpn set id…}}) }} | |||
{{var | Update auf 12.1.1--Hinweis | |||
| Ein Update auf die Version 12.''x'' wird erst ab der Version '''11.8.14''' angeboten | |||
| An update to version 12.''x'' is only offered from version '''11.8.14''' onwards }} | |||
{{var | v12--Beta | |||
| Diese Version ist ausschließlich zum Testen für Reseller vorgesehen. <br>Diese Version ist '''nicht zum Einsatz in Produktivumgebungen''' vorgesehen | |||
| This version is intended for testing by resellers only. <br> This version is '''not intended for use in production environments'''}} | |||
{{var | Geplanter Rollout Zeitraum | |||
| Geplanter Rollout Zeitraum: | |||
| Planned rollout period: }} | |||
{{var | Rollout Zeitraum | |||
| Rollout Zeitraum: | |||
| Rollout period: }} | |||
{{var | Tage | |||
| Tage | |||
| days }} | |||
{{var | Tag | |||
| Tag | |||
| day }} | |||
{{var | Übersprungen | |||
| Übersprungen | |||
| skipped }} | |||
{{var | Nur für NFR | |||
| Nur für Geräte mit NFR-Lizenz | |||
| Only für devices with nfr license }} | |||
{{var | Zukünftig kein Hinweis auf Mail-Security-Komponente | |||
| Dieser Hinweis gilt auch für alle späteren Versionen, wird zukünftig aber nicht mehr extra angezeigt. | |||
| This note also applies to all later versions, but will no longer be displayed separately in future. }} | |||
{{var | gestoppt | |||
| gestoppt | |||
| stopped }} | |||
{{var | | |||
| | |||
| }} | |||
{{var | | |||
| | |||
| }} | |||
{{var | | |||
| | |||
| }} | |||
{{var | | |||
| | |||
| }} | |||
SSLVPN – Servernetzwerke | |||
---- | ---- | ||
{{var | | {{var | |
UTM/Changelog.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki