UTM/Changelog.lang: Unterschied zwischen den Versionen

{{var | Update auf 12.1.1--Hinweis

| Ein Update auf die Version 12.''x'' wird erst ab der Version '''11.8.14''' angeboten

| An update to version 12.''x'' is only offered from version '''11.8.14''' onwards }}

{{var | v12--Beta

| Diese Version ist ausschließlich zum Testen für Reseller vorgesehen. <br>Diese Version ist '''nicht zum Einsatz in Produktivumgebungen''' vorgesehen

| This version is intended for testing by resellers only. <br> This version is '''not intended for use in production environments'''}}

{{var | Geplanter Rollout Zeitraum

| Geplanter Rollout Zeitraum:

| Planned rollout period: }}

| Rollout Zeitraum:

| Rollout period: }}

{{var | Tage

| Tage

| days }}

{{var | Tag

| Tag

| day }}

{{var | Übersprungen

| skipped }}

{{var | Nur für NFR

| Nur für Geräte mit NFR-Lizenz

| Only für devices with nfr license }}

{{var | Zukünftig kein Hinweis auf Mail-Security-Komponente

| Dieser Hinweis gilt auch für alle späteren Versionen, wird zukünftig aber nicht mehr extra angezeigt.

| This note also applies to all later versions, but will no longer be displayed separately in future. }}

| ;Features:

:Neue Features:

* [[UTM/Tools |Dark Mode]] verfügbar

* [[UTM/NET/Bond |Bond-Konfiguration]] für Ethernet-Schnittstellen

* OpenVPN: Ünterstützung von TLS-Crypt für [[UTM/VPN/SSL_VPN-Roadwarrior#Verbindung_bearbeiten |Roadwarrior]] und [[UTM/VPN/SSL_VPN-S2S#Abschnitt_Allgemein |S2S]]

* [[UTM/NET/Cluster-Management#Konfiguration |Schnittstellenüberprüfung]] vor Cluster-Synchronisation

:Aktualisierungen:

* [[UTM/NET/Cluster-Management#Konfiguration |Cluster-Syncronisierung]] von Virus-Patterns, Mailarchive Hashes (Spam) und der GEO-IP Liste

* [[UTM/NET/SNMP-OIDs#WireGuard |Wireguard Status per SNMP]] auslesbar

* [[UTM/APP/IGMP_Proxy#Whitelist |Allowlist im IGMP-Proxy]] konfigurierbar

:Sonstiges:

* Layout der [[UTM/APP/SSL-Interception | Auswahl der SSL Interception]] wurde für den HTTP Proxy überarbeitet

* IKEv1 Protokoll wird als veraltet gekennzeichnet (IPSec)

* Fehler behoben, bei welchem eine Firmware Übertragung auf die Spare nicht funktionierte

* Bei der E-Mail-Statistik wurde die Liste der einzelnen Kategorien nicht vollständig angezeigt

* Log Cloud Meldungen ließen sich nicht herunterladen

* Unter Umständen konnten Paketfilter Regeln nicht mehr aktualisiert werden, sobald eine Regel mit einem Full Cone NAT samt Dynamischen Hostnamen * konfiguriert wurde

* Das Auflösen von URL-Shortener Adressen war mit dem HTTP Proxy manchmal fehlerhaft

* Support-Benutzer konnten nicht mit aktivierten OTP-Optionen betrieben werden

* Fehler behoben bei welchem eine große Anzahl von VLANs nicht sofort nach dem Neustart zur Verfügung standen

* VLAN Schnittstellen konnten keine DHCP Client Adresse beziehen

* Validierung von Falsch eingegebenen IP Adressen wurde für den DHCP Pool Dialog angepasst

* Bei einer verzögerten Internet Einwahl wurde das UTM Autoupdate nicht abgeschlossen

* Unter Umständen wurden bei IPSec Verbindungen die Tunnel SAs nicht gelöscht

* Eine Speichern und Schließen Aktion funktionierte nicht beim SSL-VPN Wizard

* Eine laufende USC Websession wurde beendet, sobald ein Cloud-Backup Passwort gesetzt wurde

| ;Features:

* [[UTM/Tools |Dark Mode]] available

* [[UTM/NET/Bond |Bond configuration]] for Ethernet interfaces

* OpenVPN: Support of TLS-Crypt for [[UTM/VPN/SSL_VPN-Roadwarrior#Edit_connection |Roadwarrior]] and [[UTM/VPN/SSL_VPN-S2S#Section_General |S2S]]

* [[UTM/NET/Cluster-Management#Configuration |Interface check]] before cluster synchronization

Updates:

* [[UTM/NET/Cluster-Management#Configuration |Cluster-Syncronization]] of virus patterns, mail archive hashes (spam) and the GEO-IP list

* [[UTM/NET/SNMP-OIDs#WireGuard |Wireguard Status via SNMP]] readable

* [[UTM/APP/IGMP_Proxy#Whitelist |Allowlist in IGMP proxy]] configurable

Other:

* Layout of [[UTM/APP/SSL-Interception | Selection of SSL Interception]] has been revised for the HTTP proxy

* Units in QoS can be set in Gbit/s

* IKEv1 protocol is marked as obsolete (IPSec)

* Fixed a bug where a firmware transfer to the spare did not work

* The list of individual categories was not displayed completely in the e-mail statistics

* Log Cloud messages could not be downloaded

* Under certain circumstances, packet filter rules could no longer be updated as soon as a rule was configured with a full cone NAT including dynamic hostname

* Resolving URL shortener addresses was sometimes incorrectly done with the HTTP proxy

* Fixed a bug where a large number of VLANs were not available immediately after reboot

* VLAN interfaces could not obtain a DHCP client address

* Validation of incorrectly entered IP addresses was adjusted for the DHCP pool dialog

* The UTM autoupdate was not completed during a delayed Internet dial-in

* Under certain circumstances, the tunnel SAs were not deleted for IPSec connections

* The save and close action did not work with the SSL VPN Wizard

* A running USC web session was terminated as soon as a cloud backup password was set

* Improved validation of incorrectly entered name server entries

}}

{{var | Build 12.6.0.1--desc

| ;Maintenance:

;Bugfix:

| ;Maintenance:

* Background color of the user interface has been adjusted

* Aktualisierung des SSH-Dienstes auf Version 9.6p1 ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-48795 CVE-2023-48795])

* Es lassen sich vordefinierte [[UTM/NET/Syslog | Syslog]] Filter im Live-Log auswählen

* Der aktuelle [[USC/UTM | USC]] Verbindungsstatus wird angezeigt

* Ein bereits vorhandener [[UTM/AUTH/Benutzerverwaltung#Support-Benutzer | Support-Benutzer]] lässt sich löschen und neu anlegen

* Der "Portfilter" wurde in [[UTM/RULE/Paketfilter | Paketfilter]] umbenannt

* Das DHCP-[[UTM/Widgets | Widget]] wurde durch einen neuen Netzwerktopologie-Dialog ersetzt

* Ein [[UTM/APP/IGMP_Proxy | IGMP-Proxy-Dienst ]] lässt sich konfigurieren

* Der Nameserver hat einen [[UTM/APP/Nameserver#mDNS-Repeater | MDNS-Repeater]]

:Wireguard:

* Import von bestehenden [[UTM/VPN/WireGuard-S2E#Konfiguration_UTM | Konfigurationen]] im WireGuard Assistenten

* Der Status der impliziten [[UTM/VPN/WireGuard | Wireguard-Regel]] wird mit angezeigt

* X25519 Schlüssel lassen sich mit einem Private-Key für [[UTM/VPN/WireGuard-Peer | Peers]] konfigurieren

:IPSec:

* Es lassen sich mehrere [[UTM/VPN/SSL_VPN_zu_IPSec-Ziel | Ciphersuite-Optionen]] für IKEv2 auswählen

:Cluster:

* Der [[UTM/CLI/System | ''system info'']] Befehl gibt auch Informationen zum aktuellen Cluster-Status aus

* Es sind jetzt mehrere [[UTM/NET/Fallback#Fallback | Ping Check]] Ziele möglich

* Name einer OpenVPN-Verbindung lässt sich mit [[UTM/NET/SNMP | SNMP]] auslesen

* Anhand von ausgewählten E-Mails lassen sich [[UTM/APP/Mailfilter#Tags | Patterns]] zum gezielten Blocken erstellen

* Erkennung von möglicherweise gefälschten [[UTM/APP/Mailfilter#Kriterien | Links]] in E-Mails wurde hinzugefügt

:Alerting Center:

* [[UTM/AlertingCenter#Funktionstest | Testberichte]] lassen sich manuell abschicken

* Automatisch generierte Gruppen sind [[UTM/RULE/Paketfilter | konfigurierbar]]

* [[UTM/AUTH/Zertifikate-ACME#ACME-Zertifikate |ACME Account-Schlüssellänge]] lässt sich einstellen

* Die Schlüssellänge ist bei der Erstinstallation für [[UTM/AUTH/Zertifikate#CA_erstellen | CA und Serverzertifikat]] einstellbar

* Statische IPv6-Routen mit einer Gateway-IP lassen sich einer Schnittstelle direkt zuordnen

* Beim Verändern von Schnittstellen können betroffene [[UTM/NET/Ethernet#Anlegen_einer_Ethernet-Schnittstelle | Netzwerkobjekte]] dynamisch angepasst werden

* Beim Router Advertisement lässt sich einstellen, ob sowohl IPv4 und IPv6 Adressen vergeben werden sollen oder nur IPv4

* Verwendung des Provider DNS-Servers lässt sich beim [[UTM/APP/Nameserver | Nameserver Dienst]] ein- und ausschalten

;Bugfixes

* Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert

* Authentifizierung mit E-Mail-Adressen funktionierte nicht mit Entra ID (Azure AD)

* Doppelte Leerzeichen im Namen einer CA verhinderten das Laden von IPSec-Verbindungen

* Beim "DHCP Lease hinzufügen" Dialog wurden Doppelpunkte im Leasenamen für IPv6-Verbindungen vorgeschlagen

* Proxy-Widget Statistiken wurden nicht vollständig aktualisiert

* PPTP-Interface hinzufügen Fehlermeldung wurde korrigiert

| 3=;Maintenance / Security Bugfix

* Update of the operating system and all components

* Update of the SSH service to version 9.6p1 ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-48795 CVE-2023-48795])

* Update of the DHCP client

* The SOC feature is no longer supported{{Alert|fa=fas}}

;'''Redesign of the Webinterfaces''' {{Bild|{{#var:Redesign-Netzwerk--Bild}}|Menu: Network / Network configuration|class=Bild-t noborder}}

* {{c|User interface has been completely revised with a new design|blau|class=inline | fw=bold}}

* Configuration can be saved using a key combination {{info|1=<span class="mw8 inline-block"><span class=key>Ctrl</span> <span class=key>alt</span> <span class=key>s</span> <br>resp.<span class=key>Ctrl</span> <span class=key>cmd <i class="fal fa-command"></i></span> <span class=key>s</span></span>}}

* Predefined [{{#var:host}}UTM/NET/Syslog Syslog] filters can be selected in the live log

* The current [{{#var:host}}USC/UTM USC] connection status is displayed

* An existing [{{#var:host}}UTM/AUTH/Benutzerverwaltung#Support_user Support user] can be deleted and created again

* The "Port filter" has been renamed [{{#var:host}}UTM/RULE/Paketfilter Packet filter]

* The DHCP UTM/Widgets Widget] has been replaced by a new network topology dialog

: New applications:

* A [{{#var:host}}UTM/APP/IGMP_Proxy IGMP proxy service] can be configured

* The name server has a [{{#var:host}}UTM/APP/Nameserver#mDNS-Repeater MDNS-Repeater]

* Import of existing [{{#var:host}}UTM/VPN/WireGuard-S2E#Configuration_UTM Configurations] in the WireGuard assistant

* The status of the implicit [{{#var:host}}UTM/VPN/WireGuard Wireguard rule] is displayed with

* X25519 keys can be configured with a private key for [{{#var:host}}UTM/VPN/WireGuard-Peer peers]

* Multiple [{{#var:host}}UTM/VPN/SSL_VPN_zu_IPSec-Ziel ciphersuite options] can be selected for IKEv2

* The [{{#var:host}}UTM/CLI/System ''system info''] command also provides information on the current cluster status

:Fallback:

* Now, multiple [{{#var:host}}UTM/NET/Fallback#Fallback ping check] destinations are possible

* Name of an OpenVPN connection can be read out via [{{#var:host}}UTM/NET/SNMP snmp]

* [{{#var:host}}UTM/APP/Mailfilter#Tags Patterns] for targeted blocking can be created based on selected emails

* Detection of potentially forged [{{#var:host}}UTM/APP/Mailfilter#Kriterien links] in emails has been added

* [{{#var:host}}UTM/AlertingCenter#Funktionstest Test reports] can be sent manually

:Packetfilter:

* Automatically generated groups are [{{#var:host}}UTM/RULE/Paketfilter configurable]

:Key lengths:

* [{{#var:host}}UTM/AUTH/Zertifikate-ACME#ACME Certificates ACME account key length] can be set

* The key length can be set during the initial installation for [{{#var:host}}UTM/AUTH/Zertifikate#Create_CA CA and Server certificate]

:New functions:

* Static IPv6 routes with a gateway IP can be assigned directly to an interface

* When changing interfaces, affected [{{#var:host}}UTM/NET/Ethernet#Create_an_Ethernet_interface Network_objects] can be adapted dynamically

* Router Advertisement allows you to set whether both IPv4 and IPv6 addresses should be assigned for the respective interface or only IPv4

* Radius timeout for SSL-RW OpenVPN connections can be configured via CLI

* Use of the provider DNS server can be switched on and off in the [{{#var:host}}UTM/APP/Nameserver name server] service

* Fixed visual errors and user interface hints in some dialogs

* Authentication with email addresses did not work with Entra ID (Azure AD)

* Double spaces in the name of a CA prevented the loading of IPSec connections

* In the "Add DHCP Lease" dialog, colons were suggested in the lease name for IPv6 connections

* Proxy widget statistics were not fully updated

* Individual placeholders were not replaced correctly in the Alerting Center log

* PPTP interface add error message has been corrected }}

{{var | Build 12.5.5--desc

|  

;Security Bugfix / Maintenance

* Behobene Sicherheitslücke im Zusammenhang mit der Mailrelay-Anwendung ([https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2023-51764 CVE-2023-51764])

| ;Security Bugfix / Maintenance

* Fixed Security vulnerability related to the mail relay application ([https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2023-51764 CVE-2023-51764]) }}

{{var | Build 12.5.4.1--desc

;Security Bugfix / Maintenance

* Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst ([https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2023-49286 CVE-2023-49286], [https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2023-49285 CVE-2023-49285], [https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2023-50269 CVE-2023-50269])

* Fixed vulnerabilities related to HTTP proxy service ([https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2023-49286 CVE-2023-49286], [https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2023-49285 CVE-2023-49285], [https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2023-50269 CVE-2023-50269]) }}

{{var | CVE-2023-50269--info

| CVE-2023-50269: ''Squid-Proxy - Denial of Service durch Endlosschleife''<p>{{whitebox|follow_x_forwarded_for}}</p>Sicherheitslücke durch Patch beseitigt<br>CVE-Kategorisierung erfolgte erst später.<br><small>Eintrag ergänzt am 15.12.2023</small>

| CVE-2023-50269: ''Squid-Proxy - Denial of service through endless loop''<p>{{whitebox|follow_x_forwarded_for}}</p>Security gap eliminated by patch<br>CVE categorization took place at a later date.<br><small>Entry completed on 15.12.2023</small> }}

{{var | Build 12.5.4--desc

* Bei Verwendung des Traceroute Netzwerktools wurde unter Umständen das Ergebnis stark zeitverzögert oder gar nicht angezeigt

* Beim Mailscanner wird das FILTERED Flag im Syslog nun nur noch angezeigt, falls der Body verändert wurde sowie bei Anwendung der TNEF-Decodierung

* SNI Validierung beim HTTP Proxy ließ sich nicht über das Administrations-Webinterface deaktivieren

* Fehler behoben, durch den keine Verbindung zu einem SSL-VPN Tunnelblick Client aufgebaut werden konnte

* When using the traceroute network tool, the result was sometimes displayed with a long delay or not at all

* The mail scanner FILTERED flag is now only displayed in the syslog if the body has been changed or if TNEF decoding is used

* SNI validation for the HTTP proxy could not be deactivated via the administration web interface

* Fixed a bug where no connection to an SSL VPN tunnelblick client could be established }}

{{var | 1=Build 12.5.3.1--desc

| 2=

;Bugfixes

* Unter Umständen konnten IPSec Verbindungen eine erhöhte Systemlast hervorrufen

* Fehler behoben, bei dem eine Authentifizierung am Captive Portal mit abgelaufenen Captive Portal Benutzern weiterhin möglich war

* Eine SNMP-Abfrage des IPSec Status war nach einem Neustart nicht möglich

| 3=

;Bugfixes

* Fixed a bug where authentication on captive portal with expired captive portal users was still possible

* An SNMP query of the IPSec status was not possible after a restart }}

{{var | 1=Build 12.5.3--desc

| 2=

;Maintenance / Security Bugfix

* Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst ([https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2021-46784 CVE-2021-46784],[https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2022-41317 CVE-2022-41317])<br>Hinweis: Es liegen nicht für alle korrigierten Sicherheitslücken CVEs vor.

* Aktualisierung von OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name&#61;CVE-2023-4807 CVE-2023-4807])  

* Aktualisierung des Linux-Kernels

* Fehler bei der CLI Autovervollständigung wurde behoben

* Fehler behoben, bei welchem die Wireguard Konfiguration nicht gelöscht wurde

* CLI autocomplete bug has been fixed

* Fixed a bug where the Wireguard configuration was not deleted }}

{{var | 1=Build 12.5.2--desc

| 2=

* ClamAV virus scanning engine has been updated

* VPN Client has been updated

* Processing of the mail archive for specific use cases accelerated

* Stability on the UTM cluster increased in combination with SNMP requests

* Updated selection of available encryption algorithms for IPSec }}

{{var | Betroffene Komponente

| Betroffene Komponente

| Affected components }}

| The SSLVPN instance can be edited via CLI. ({{code|openvpn set id…}}) }}