KKeine Bearbeitungszusammenfassung |
Davids (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
(24 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 3: | Zeile 3: | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
{{ | {{var | display | ||
| Securepoint UTM Changelog | | Securepoint UTM Changelog | ||
| Securepoint UTM changelog }} | | Securepoint UTM changelog }} | ||
{{var | {{var | head | ||
| Alle Änderungen aus den Securepoint UTM Updates (inkl. Reseller Previews) sind hier für Sie aufgelistet. | |||
| All changes from the Securepoint UTM updates (incl. Reseller Previews) are listed here for you. }} | |||
| Alle Änderungen aus den Securepoint UTM Updates sind hier für Sie aufgelistet. | |||
| All changes from the Securepoint UTM updates are listed here for you. }} | |||
{{var | keywords | {{var | keywords | ||
| | | Firmware Updates, UTM Upgrade, UTM Update, Software Aktualisierung | ||
| | | Firmware updates, UTM upgrade, UTM update, software update }} | ||
{{var | | {{var | 1=Keine Info zu Security-Bugfix | ||
| | | 2=<ul><li class="list--element__bullet">Zum Zeitpunkt der Veröffentlichung dieses Updates geben wir keine weiteren Informationen zu dieser Sicherheitslücke bekannt.</li><li class="list--element__bullet">Wir geben unseren Kunden die Möglichkeit, ihre Systeme abzusichern, bevor Details einen möglichen Angriffsweg verraten könnten.</li><li class="list--element__bullet">Zu einem späteren Zeitpunkt werden dann weitere Informationen dazu veröffentlicht.</li></ul> | ||
| | | 3=<ul><li class="list--element__bullet">At the time of publishing this update, we are not releasing any further information about this vulnerability.</li><li class="list--element__bullet">We are giving our customers the opportunity to secure their systems before details could reveal a possible avenue of attack</li><li class="list--element__bullet">Further information will be released at a later date.</li></ul> }} | ||
{{var | | |||
| | |||
{{var | 1=Build 12.7.1--desc | |||
| 2=;Maintenance: | |||
:Operating System: | |||
* Security Bugfix: Aktualisierung des Kernels [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1086 (CVE-2024-1086)] | |||
* Security Bugfix: Fehler behoben, durch den unter Umständen OTP Codes nicht korrekt validiert wurden [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-39340 (CVE-2024-39340)]{{info|{{#var:Keine Info zu Security-Bugfix}} |class=fixed}} | |||
* Maintenance: Aktualisierung der Virenscanner Engine | |||
{{var | | * Maintenance: Aktualisierung des Mailscanners | ||
| | |||
| | :Neue Features: | ||
{{var | | * Feature: Regelwerk-Engine iptables wurde durch [[UTM/RULE/Paketfilter|nftables]] ersetzt | ||
| | * Feature: Erkennung und Kennzeichnung potentiell gefälschter [[UTM/APP/Mailfilter#Fake-URL|Links in E-Mails]] wurde überarbeitet | ||
| | * Feature: Dryrun führt nun bei Datenbankkonvertierungsfehlern einen automatischen Rollback durch | ||
{{var | | * Feature: [[UTM/APP/Reverse_Proxy|Reverse Proxy]] mit nginx unterstützt nun NTLM | ||
| | |||
| | :Administrations-Webinterface: | ||
{{var | | * Feature: Wireguard Verbindungen können nun auch gezielt für [[UTM/VPN/WireGuard-S2E#Schritt_3_-_Peer_Lokaler_Benutzer|lokal konfigurierte Benutzer]] angelegt werden | ||
| | * Feature: Validierung von Schlüsseln, die zu [[UTM/VPN/WireGuard-S2E|Wireguard-Verbindungen]] hinzugefügt werden, wurde verbessert | ||
| | * Feature: Die Menüpunkte [[UTM/EXTRAS/Erweiterte_Einstellungen|''Erweiterte Einstellungen'']] und [[UTM/EXTRAS/Templates | ''Templates'']] sind nun direkt verfügbar | ||
{{var | | * Feature: DHCP Relay wurde um einen Debug-Modus erweitert | ||
* Feature: Darstellung der [[UTM/Widgets#Appliance|Appliance im Widget]] wurde für größere Geräte überarbeitet | |||
;Bugfixes: | |||
* Bugfix: Icon von Netzwerkobjekt mit 0.0.0.0/0 wurde falsch angezeigt | |||
* Bugfix: An einigen Stellen wurde die Auswahl von Zertifikaten überarbeitet, so dass nur Zertifikate mit privatem Schlüssel gewählt werden können | |||
* Bugfix: Fehlerhaftes Verhalten der englischen Admin-Benutzeroberfläche behoben | |||
* Bugfix: "WireGuard Einstellungen aus der Gruppe verwenden" im Benutzer Hinzufügen-Dialog war fehlerhaft | |||
* Bugfix: Wireguard Benutzer-Peers wurde nach einem Neustart der Appliance nicht korrekt geladen | |||
* Bugfix: Paketfilterregeln konnten innerhalb einer Regelgruppe nicht mehr verschoben werden | |||
* Bugfix: Speichern des IPSec Phase 2 Dialogs erzeugte eine Fehlermeldung | |||
| 3=;Maintenance: | |||
:Operating System: | |||
* Security Bugfix: Update of the kernel [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1086 (CVE-2024-1086)] | |||
* Security Bugfix: Fixed a bug where otp codes were not properly verified under certain circumstances [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-39340 (CVE-2024-39340)]{{info|{{#var:Keine Info zu Security-Bugfix}} |class=fixed}} | |||
* Maintenance: Update of the virus scanner engine | |||
* Maintenance: Update of the mail scanner | |||
:New Features: | |||
* Feature: Rule engine iptables has been replaced by [[UTM/RULE/Paketfilter|nftables]] | |||
* Feature: Recognition and labeling of [[UTM/APP/Mailfilter#Fake-URL|potentially forged links]] in emails has been revised | |||
* Feature: Dryrun now performs an automatic rollback in the event of database conversion errors | |||
* Feature: [[UTM/APP/Reverse_Proxy|Reverse proxy]] with nginx now supports NTLM | |||
:Administration web interface: | |||
* Feature: Wireguard connections can now also be created specifically for [[UTM/VPN/WireGuard-S2E#Schritt_3_-_Peer_Lokaler_Benutzer|locally configured users]] | |||
* Feature: Validation of keys that are added to [[UTM/VPN/WireGuard-S2E|Wireguard connections]] has been improved | |||
* Feature: The menu items [[UTM/EXTRAS/Erweiterte_Einstellungen|"Advanced Settings"]] and "Templates" are now directly available | |||
* Feature: DHCP Relay has been extended by a debug mode | |||
* Feature: Appliance display in the [[UTM/Widgets#Appliance|widget]] has been revised for larger devices | |||
;Bugfixes: | |||
* Bugfix: Icon of network object with 0.0.0.0/0 was displayed incorrectly | |||
* Bugfix: In some places the selection of certificates has been revised so that only certificates with private keys can be selected | |||
* Bugfix: Incorrect behavior of the English admin user interface fixed | |||
* Bugfix: "Use WireGuard settings from the group" in the user add dialog was incorrect | |||
* Bugfix: Wireguard user peers were not loaded correctly after a restart of the appliance | |||
* Bugfix: Packet filter rules could no longer be moved within a rule group | |||
* Bugfix: Saving the IPSec Phase 2 dialog generated an error message }} | |||
{{var | 12.7.1 Logmeldungen | |||
| IDS/IPS bzw. Logmeldungen Alertingcenter | |||
| IDS/IPS or log messages Alerting center }} | |||
{{var | 12.7.1 Logmeldungen--desc | |||
| Im Alerting Center kann es zu vermehrten Meldungen durch geblockte Verbindungen der Threat Intelligence Liste kommen. Grund ist, das auch Verbindungen auf nicht geöffneten Ports gemeldet werden. | |||
| The alerting center may send messages for blocked connections according to the threat intelligence list. Connections to unopened ports are being reported as well. }} | |||
{{var | Lösung | |||
| Lösung | |||
| Solution }} | |||
{{var | 1=Build 12.6.5--desc | |||
| 2=;Security Bugfix: | |||
* Fehler behoben, durch den unter Umständen OTP Codes nicht korrekt validiert wurden [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-39340 (CVE-2024-39340)] | |||
| 3=;Security Bugfix: | |||
* Fixed a bug where otp codes were not properly verified under certain circumstances [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-39340 (CVE-2024-39340)] }} | |||
{{var | Build 12.6.5--Hinweis | |||
| '''Empfohlene Vorgehensweise: <u>Umgehend</u> auf Hotfix Version 12.6.5 aktualisieren.''' | |||
| '''Recommended course of action: Update <u>imideatly</u> to hotfix version 12.6.5''' }} | |||
{{var | | {{var | Build 12.7.0--desc | ||
| ;Maintenance: | |||
| | |||
:Operating System: | :Operating System: | ||
* Aktualisierung des Betriebssystems und aller Komponenten | * Aktualisierung des Betriebssystems und aller Komponenten | ||
* Aktualisierung | * Aktualisierung der DHCP Komponenten | ||
* Das | ;Features: | ||
:Neue Funktionen: | |||
* | * Beim [[UTM/APP/Reverse_Proxy|Reverse Proxy]] lässt sich eine neue NGinx Engine konfigurieren | ||
* | * Das Logging lässt sich direkt in der tabellarischen Ansicht des [[UTM/RULE/Paketfilter|Paketfilters]] konfigurieren | ||
* | * Statische DHCP Leases werden [[UTM/RULE/Netzwerktopologie|nach Pools gruppiert]] | ||
* | * Eine farbliche Hervorhebung lässt sich beim [[UTM/Log|Log]] einstellen | ||
* | * Das [[UTM/EXTRAS/CLI|CLI-Terminal]] ist im Administrations-Webinterface andockbar und in der Größe veränderbar | ||
* | * [[UTM/RULE/Implizite_Regeln|Implizite Regeln]] sind über eine kachelbasierte Ansicht einstellbar | ||
* | |||
;Features | :Administrations-Webinterface: | ||
: | * Lokale [[UTM/CONFIG/Konfigurationsverwaltung|Konfigurationen]] lassen sich kopieren | ||
* | * Beim Anlegen von Netzwerkobjekten werden Zonen automatisch nach Routen ausgefüllt | ||
* | * Beim [[UTM/APP/Webfilter|Webfilter]] lassen sich auch Regeln kopieren | ||
* Hinzufügen Dialog für IPv6 Routen wurde optimiert | |||
* | * Optimierung der "DNS Server vom Provider nutzen" Funktion bei [[UTM/NET/Mutlipathrouting|Multipathrouting]] | ||
* | * Neue Warnung beim Ausloggen und Schließen des Browsertabs wird angezeigt, falls noch ungespeicherte Änderungen vorliegen | ||
* | * Netzwerkobjekte und Leases sind in der [[UTM/RULE/Netzwerktopologie|Netzwerktopologie]] löschbar | ||
: | * Warnung beim Aktivieren des [[UTM/NET/Cluster-Management|Cluster Wartungsmodus]] über eine Websession wird ausgegeben | ||
* | |||
:WireGuard: | |||
* | * Interfaces in der Zone "internal" oder "firewall-internal" als Allowed IPs werden nun markiert | ||
* Warnung beim Löschen von aktuell verwendeten WireGuard Keys wird angezeigt | |||
* | |||
:Mailfilter: | |||
* | * [[UTM/UI/E-Mail_Verwaltung#Tags|Tag-System]] wurde angepasst ({{alert}} Achtung: Es kann vereinzelt vorkommen dass bestehende Tags nicht mehr korrekt greifen. Nach dem erneuten Hinzufügen einer entsprechenden E-Mail zu einem Tag, funktioniert der Filter wieder korrekt.) | ||
* Allen E-Mails wird ihr Hash Wert in das [[UTM/APP/Mailfilter#Mail-Header|Kopf Feld]] "X-Securepoint: FHASH" eingetragen | |||
* Hash Werte werden zur Auswertung an Securepoint gesendet | |||
;Bugfixes: | |||
* Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: Paketfilter, Mailfilter, Appliance Widget, Zertifikate, QoS, Netzwerkkonfiguration und Responsive Design | |||
* Limitierung für Mailtag Namen wurde eingebaut | |||
* Mailconnector Multidrop Oberfläche war nicht mehr nutzbar, wenn ein Custom Envelope Header genutzt wurde | |||
* Ein Deaktivieren von Router Advertisement löschte darüber angelegte Netze nicht | |||
* Ansprache und Datumsformat im Spam Bericht wurde geändert | |||
* Wake on LAN (WOL) verwendet nun mehrere Zielports | |||
* Prefix Delegation war unter Umständen fehlerhaft | |||
* Neue Wireguard Peers konnten mit der Option "Schlüssel direkt eingeben" nicht gespeichert werden | |||
| ;Maintenance: | |||
:Operating System: | |||
* Update the operating system and all components | |||
* Updating the DHCP components | |||
;Features: | |||
:New functions: | |||
* A new NGinx engine can be configured for the [[UTM/APP/Reverse_Proxy|reverse proxy]] | |||
* Logging can be configured directly in the tabular view of the [[UTM/RULE/Paketfilter|packet filter]] | |||
* Static DHCP leases are grouped [[UTM/RULE/Netzwerktopologie|according to pools]] | |||
* Color highlighting can be set for the [[UTM/Log|log]] | |||
* The [[UTM/EXTRAS/CLI|CLI terminal]] can be docked and resized in the administration web interface | |||
* [[UTM/RULE/Implizite_Regeln|Implicit rules]] can be set via a tile-based view | |||
:Administration web interface: | |||
* Local [[UTM/CONFIG/Konfigurationsverwaltung|configurations]] can be copied | |||
* Zones are automatically filled in according to routes when creating network objects | |||
* Rules can also be copied for the [[UTM/APP/Webfilter|web filter]] | |||
* Add dialog for IPv6 routes has been optimized | |||
* Optimization of the "Use DNS server from provider" function for [[UTM/NET/Mutlipathrouting|multipath routing]] | |||
* New warning is displayed when logging out and closing the browser tab if there are still unsaved changes | |||
* Network objects and leases can be deleted in the [[UTM/RULE/Netzwerktopologie|network topology]] | |||
* Warning is issued when activating [[UTM/NET/Cluster-Management|cluster maintenance mode]] via a web session | |||
:WireGuard: | |||
* Interfaces in the "internal" or "firewall-internal" zone as Allowed IPs are now marked | |||
* Warning when deleting currently used WireGuard keys is displayed | |||
:Mailfilter: | :Mailfilter: | ||
* | * [[UTM/UI/E-Mail_Verwaltung#Tags|Tag system]] has been adapted ({{alert}} Attention: It may happen that existing tags no longer work correctly. After re-adding a corresponding e-mail to a tag, the filter will work correctly again.) | ||
* | * All emails have their hash value entered in [[UTM/APP/Mailfilter#Mail-Header|the header field]] "X-Securepoint: FHASH" | ||
: | * Hash values are sent to Securepoint for evaluation | ||
* | |||
: | ;Bugfixes: | ||
* | * Visual errors and hints of the user interface in some dialogs fixed: packet filter, mail filter, appliance widget, certificates, QoS, network configuration and responsive design | ||
: | * Limitation for mail tag names has been implemented | ||
* [[UTM/ | * Mailconnector multidrop interface was no longer usable if a custom envelope header was used | ||
* Deactivating Router Advertisement did not delete networks created via it | |||
* Address and date format in the spam report has been changed | |||
* | * Wake on LAN (WOL) now uses multiple target ports | ||
* Beim | * Prefix delegation was incorrect under certain circumstances | ||
* | * New Wireguard peers could not be saved with the "Enter key directly" option }} | ||
* | |||
* | {{var | Build 12.6.4.2--desc | ||
;Bugfixes | | ;Bugfix: | ||
* | * Bei IPSec Verbindungen mit IKEv1 konnte der Phase 1 Dialog nicht gespeichert werden | ||
* | * Ein über die USC Profile gesetztes Cloud Backup Passwort konnte unter Umständen im Klartext im Audit Syslog auftauchen | ||
* | | ;Bugfix: | ||
* | * The phase 1 dialog could not be saved for IPSec connections with IKEv1 | ||
* | * A cloud backup password set via the USC profiles could appear in plain text in the audit syslog under circumstances }} | ||
* | {{var | Build 12.6.4.1--desc | ||
* | | ;Bugfix: | ||
| | * Fehler behoben, durch den lokale SSL-VPN Site-to-Site Client Verbindungen nicht mehr editiert werden konnten | ||
| ;Bugfix: | |||
* Fixed a bug where local SSL-VPN site-to-site client connections could no longer be edited }} | |||
{{var | Build 12.6.4--knwon issue | |||
| Einstellungen im SSL VPN S2S Client können nachträglich nicht mehr geändert werden. | |||
| }} | |||
{{var | Geplant | |||
| Geplant Anfang | |||
| }} | |||
{{var | 12.6.4-SSL-Client | |||
| SSL VPN Site-to-Site <br>Client Konfiguration | |||
| }} | |||
{{var | 12.6.4-SSL-Client--desc | |||
| Nach dem Update auf v12.6.4 können im Bearbeitungsdialog einer SSL VPN Verbindung für S2S Clients keine Änderungen mehr vorgenommen werden.<p>Man gelangt zwar in den Bearbeitungsdialog, aber ein Klick auf {{Button-dialog|Speichern}} hat keine Auswirkung.</p> | |||
| }} | |||
{{var | 12.6.4-SSL-Client--Workaorund | |||
| Bearbeitung über das [[UTM/CLI/Openvpn | CLI]] oder [[UTM/EXTRAS/Firmware_Update#Rollback | Rollback]] auf die vorherige Version. | |||
| }} | |||
{{var | Build 12.6.4--desc | |||
| ;Bugfixes: | |||
* Das Laden von importierten Konfigurationen mit mehr Schnittstellen als aktuell auf der Maschine verfügbar hat zu Problemen geführt | |||
* Das Setzen von leeren Werten im Mailarchivdialog wird verhindert | |||
* Beim Setzen von sysctl Variablen wurde das VLAN Namensschema nicht berücksichtigt | |||
| ;Bugfixes: | |||
* Loading imported configurations with more interfaces than currently available on the machine has led to problems | |||
* Setting empty values in the mail archive dialog is prevented | |||
* When setting sysctl variables, the VLAN naming scheme was not taken into account }} | |||
{{var | Build 12.6.3--desc | |||
| ;Bugfixes: | |||
* Fehler behoben, durch den eine falsche Verlinkung in der HTTP-Proxy Statistik angezeigt wurde | |||
* Für SNMP war die Ausgabe der VPN-Verbindungen bei einer hohen Anzahl nicht vollständig | |||
* Systemweite Proxy-Einstellungen werden nun von GeoIP-Updates und Cloudbackups verwendet | |||
* Unter Umständen wurde der RNDC-Key des Nameserver Dienstes nicht erfolgreich erneuert | |||
* IP-Adressen wurden nicht richtig vom Systemweiten Proxy übernommen | |||
* Lokale Benutzer konnten fälschlicherweise in zwei Wireguard-Konfigurationen erscheinen | |||
* Mögliche Neustart-Probleme des Namensauflösungsdienstes behoben | |||
| ;Bugfixes: | |||
* HTTP-Proxy Statistics could contain a wrongĺy linked item | |||
* SNMP values for VPN connections were not complete when a lot of connections were active | |||
* Systemwide proxy settings are now used by GeoIP update and Cloudbackups | |||
* The RNDC key of the nameserver service was not renewed under certain circumstances | |||
* IPv6 addresses were not saved correctly for the systemwide proxy | |||
* Local users could appear in two different wireguard configurations | |||
* Possible restart problem with the name resolution service was fixed }} | |||
{{var | Build 12.6.2--desc | |||
| ;Maintenance: | |||
:Operating System: | :Operating System: | ||
* Update of the operating system and | * Aktualisierung des Betriebssystems und Komponenten | ||
* Update of the | * Aktualisierung des Nameservers (CVE-2023-50387, CVE-2023-50868, CVE-2023-5517, CVE-2023-5679) | ||
* | * VPN Client wurde auf 2.0.41 aktualisiert | ||
* Fehler in der Upload Funktion des Webinterfaces behoben | |||
;Features | |||
;Features: | |||
:Administrations-Webinterface: | |||
* [[USC/Profile#Hinweis_USC-Profil | USC-Profil Funktion]] kann nun aktiviert werden | |||
* Im [[UTM/AUTH/Datenschutz | Datenschutz Dialog]] lässt sich die Anonymisierung der Anwendungen nun kollektiv aktivieren und deaktivieren | |||
* Bei eingeschalteter [[UTM/NET/Cluster-Management | Cluster-Konfiguration]] ist das Administrations-Webinterface deutlich zwischen dem aktiven und passiven Cluster unterscheidbar | |||
* Verhalten der [[UTM/APP/Mailfilter#Mailarchiv | Mailfilter TNEF Verarbeitung]] kann spezifischer eingestellt werden | |||
* Das [[UTM/Widgets#Optionale_Widgets | DHCP Widget]] wird nicht mehr unterstützt und enthält eine Verlinkung zum neuen Netzwerktopologie-Dialog | |||
* Statische Leases sind im [[UTM/RULE/Netzwerktopologie | Netzwerktopologie-Dialog]] einzusehen | |||
* Automatische Firmwareaktualisierungen lassen sich nun auch bei [[UTM/EXTRAS/Firmware_Update#Update_Planung | aktivierter USC]] nutzen | |||
:Sonstiges: | |||
* Eine [[UTM/APP/Connection-Rate-Limit | Drosselung für eingehende UDP und TCP Pakete]] ist über das CLI konfigurierbar und bei Neuinstallationen für UDP auf dem externen Interface aktiviert | |||
* [[UTM/NET/SNMP-OIDs#SECUREPOINT-UTM.mib | SNMP Abfragen]] für eine IPSec-Verbindung mit mehreren Subnetzen sind nun möglich | |||
* Der Umfang der [[UTM/UI/WOL | Wake on LAN]] Funktion wurde optimiert | |||
;Bugfixes: | |||
* Fehler behoben, bei welchem eine Default Route nach einem UTM Neustart nicht gesetzt wurde | |||
* Eine fehlerhafte Konfiguration einer OpenVPN-Verbindungen konnte eine erhöhte Systemlast hervorrufen | |||
* Unter Umständen konnten IPv4 Adressen vom DHCP Client nicht bezogen werden | |||
* Das Verhalten der DHCP-Prüfung während des Logins beim Administrations-Webinterfaces wurde optimiert | |||
* Generierte PDF OTP QR-Codes wurden unter Umständen nicht vollständig angezeigt | |||
* Falsche Ausgabe für das OpenVPN Status Widget wurde behoben | |||
* Der Login am Administrations-Webinterface konnte während des Herunterladens einer neuen Firmware zeitweise blockiert werden | |||
* Wireguard Konfigurationen mit ausschließlich Benutzer-Peers wurden nicht korrekt geschrieben | |||
| ;Maintenance: | |||
:Operating System: | |||
* Update of the operating system and components | |||
* Update of the name server (CVE-2023-50387, CVE-2023-50868, CVE-2023-5517, CVE-2023-5679) | |||
* VPN client has been updated to 2.0.41 | |||
* Error in the upload function of the web interface has been fixed | |||
;Features: | |||
:Administration web interface: | :Administration web interface: | ||
* | * [[USC/Profile#Hinweis_USC-Profil | USC profile function]] can now be activated | ||
* In the [[UTM/AUTH/Datenschutz | data protection dialog]], the anonymization of applications can now be activated and deactivated collectively | |||
* | * When the [[UTM/NET/Cluster-Management | cluster configuration]] is activated, the administration web interface clearly distinguishes between the active and passive cluster | ||
* | * Behavior of the [[UTM/APP/Mailfilter#Mailarchiv | mail filter TNEF processing]] can be set more specifically | ||
* | * The [[UTM/Widgets#Optionale_Widgets | DHCP widget]] is no longer supported and contains a link to the new network topology dialog | ||
* The | * Static leases can be viewed in the [[UTM/RULE/Netzwerktopologie | network topology dialog]] | ||
* | * Automatic firmware updates can now also be used when [[UTM/EXTRAS/Firmware_Update#Update_Planung | USC is activated]] | ||
* | |||
: | :Other: | ||
* | * [{{#var:host}}UTM/APP/Connection-Rate-Limit Throttling for incoming UDP and TCP packets] can be configured via the CLI and is activated for UDP on the external interface for new installations | ||
* The | * [[UTM/NET/SNMP-OIDs#SECUREPOINT-UTM.mib | SNMP queries]] for an IPSec connection with multiple subnets are now possible | ||
* | * The scope of the [[UTM/UI/WOL | Wake on LAN]] function has been optimized | ||
: | |||
;Bugfixes: | |||
* Fixed a bug where a default route was not set after a UTM restart | |||
* An incorrect configuration of an OpenVPN connection could cause an increased system load | |||
* Under certain circumstances, IPv4 addresses could not be obtained from the DHCP client | |||
* | * The behavior of the DHCP check during login to the administration web interface has been optimized | ||
: | * Generated PDF OTP QR codes were not displayed completely under certain circumstances | ||
* | * Incorrect output for the OpenVPN status widget has been fixed | ||
* Login to the administration web interface could be temporarily blocked while downloading a new firmware | |||
* | * Wireguard configurations with only user peers were not written correctly }} | ||
* [ | {{var | Build 12.6.1--desc | ||
* | | ;Features: | ||
: | :Neue Features: | ||
* [ | * [[UTM/Tools |Dark Mode]] verfügbar | ||
* [[UTM/NET/Bond |Bond-Konfiguration]] für Ethernet-Schnittstellen | |||
* | * OpenVPN: Unterstützung von TLS-Crypt für [[UTM/VPN/SSL_VPN-Roadwarrior#Verbindung_bearbeiten |Roadwarrior]] und [[UTM/VPN/SSL_VPN-S2S#Abschnitt_Allgemein |S2S]] | ||
* [[UTM/NET/Cluster-Management#Konfiguration |Schnittstellenüberprüfung]] vor Cluster-Synchronisation | |||
* | |||
:Aktualisierungen: | |||
* | * [[UTM/NET/Cluster-Management#Konfiguration |Cluster-Syncronisierung]] von Virus-Patterns, Mailarchive Hashes (Spam) und der GEO-IP Liste | ||
* [[UTM/NET/SNMP-OIDs#WireGuard |Wireguard Status per SNMP]] auslesbar | |||
* | * [[UTM/APP/IGMP_Proxy#Whitelist |Allowlist im IGMP-Proxy]] konfigurierbar | ||
* | |||
:Sonstiges: | |||
* Layout der [[UTM/APP/SSL-Interception | Auswahl der SSL Interception]] wurde für den HTTP Proxy überarbeitet | |||
* | * Einheiten im QoS sind in Gbit/s einstellbar | ||
* | * IKEv1 Protokoll wird als veraltet gekennzeichnet (IPSec) | ||
;Bugfixes: | |||
* Fehler behoben, bei welchem eine Firmware Übertragung auf die Spare nicht funktionierte | |||
* Bei der E-Mail-Statistik wurde die Liste der einzelnen Kategorien nicht vollständig angezeigt | |||
* Log Cloud Meldungen ließen sich nicht herunterladen | |||
* Unter Umständen konnten Paketfilter Regeln nicht mehr aktualisiert werden, sobald eine Regel mit einem Full Cone NAT samt Dynamischen Hostnamen * konfiguriert wurde | |||
* Das Auflösen von URL-Shortener Adressen war mit dem HTTP Proxy manchmal fehlerhaft | |||
* Support-Benutzer konnten nicht mit aktivierten OTP-Optionen betrieben werden | |||
* Fehler behoben bei welchem eine große Anzahl von VLANs nicht sofort nach dem Neustart zur Verfügung standen | |||
* VLAN Schnittstellen konnten keine DHCP Client Adresse beziehen | |||
* Validierung von Falsch eingegebenen IP Adressen wurde für den DHCP Pool Dialog angepasst | |||
* Bei einer verzögerten Internet Einwahl wurde das UTM Autoupdate nicht abgeschlossen | |||
* Unter Umständen wurden bei IPSec Verbindungen die Tunnel SAs nicht gelöscht | |||
* Eine Speichern und Schließen Aktion funktionierte nicht beim SSL-VPN Wizard | |||
* Eine laufende USC Websession wurde beendet, sobald ein Cloud-Backup Passwort gesetzt wurde | |||
* Validierung von Falsch eingegebenen Nameserver Einträgen wurde verbessert | |||
* Fehler behoben, bei welchem kein Prefix für die WAN Schnittstelle gesetzt wurde nach Modem neustart | |||
| ;Features: | |||
New features: | |||
* [[UTM/Tools |Dark Mode]] available | |||
* [[UTM/NET/Bond |Bond configuration]] for Ethernet interfaces | |||
* OpenVPN: Support of TLS-Crypt for [[UTM/VPN/SSL_VPN-Roadwarrior#Edit_connection |Roadwarrior]] and [[UTM/VPN/SSL_VPN-S2S#Section_General |S2S]] | |||
* [[UTM/NET/Cluster-Management#Configuration |Interface check]] before cluster synchronization | |||
Updates: | |||
* [[UTM/NET/Cluster-Management#Configuration |Cluster-Syncronization]] of virus patterns, mail archive hashes (spam) and the GEO-IP list | |||
* [[UTM/NET/SNMP-OIDs#WireGuard |Wireguard Status via SNMP]] readable | |||
* [[UTM/APP/IGMP_Proxy#Whitelist |Allowlist in IGMP proxy]] configurable | |||
Other: | |||
* Layout of [[UTM/APP/SSL-Interception | Selection of SSL Interception]] has been revised for the HTTP proxy | |||
* Units in QoS can be set in Gbit/s | |||
* IKEv1 protocol is marked as obsolete (IPSec) | |||
;Bugfixes | ;Bugfixes | ||
* Fixed | |||
* | * Fixed a bug where a firmware transfer to the spare did not work | ||
* | * The list of individual categories was not displayed completely in the e-mail statistics | ||
* | * Log Cloud messages could not be downloaded | ||
* | * Under certain circumstances, packet filter rules could no longer be updated as soon as a rule was configured with a full cone NAT including dynamic hostname | ||
* | * Resolving URL shortener addresses was sometimes incorrectly done with the HTTP proxy | ||
* | * Support users were unable to handle OTP options | ||
* Fixed a bug where a large number of VLANs were not available immediately after reboot | |||
* VLAN interfaces could not obtain a DHCP client address | |||
* Validation of incorrectly entered IP addresses was adjusted for the DHCP pool dialog | |||
* | * The UTM autoupdate was not completed during a delayed Internet dial-in | ||
* Under certain circumstances, the tunnel SAs were not deleted for IPSec connections | |||
* Fixed | * The save and close action did not work with the SSL VPN Wizard | ||
{{var | Build 12. | * A running USC web session was terminated as soon as a cloud backup password was set | ||
| | * Improved validation of incorrectly entered name server entries | ||
; | * Fixed a bug where no prefix was set for the WAN interface after modem restart | ||
* | }} | ||
; | {{var | Build 12.6.0.1--desc | ||
* | | ;Maintenance: | ||
* Hintergrundfarbe der Benutzeroberfläche wurde angepasst | |||
| | ;Bugfix: | ||
* Fehler behoben, bei welchem Freigegebene OpenVPN Servernetzwerke nicht angezeigt wurden | |||
* Beim Mailrelay ließ sich kein DKIM Signierung Eintrag einstellen | |||
* Unter Umständen konnten IPv4 und IPv6 Adressen vom DHCP Client nicht bezogen werden | |||
| ;Maintenance: | |||
* Background color of the user interface has been adjusted | |||
;Bugfixes | ;Bugfixes | ||
* | * Fixed a bug where shared OpenVPN server networks were not displayed | ||
* No DKIM signing entry could be set in the mail relay | |||
* Under certain circumstances, IPv4 and IPv6 addresses could not be obtained by the DHCP client }} | |||
{{var | Redesign-Netzwerk--Bild | |||
| Redesign-Netzwerk.png | |||
| Redesign-Netzwerk-en.png }} | |||
{{var | 1=Build 12.6.0--desc | |||
* | | 2=;Maintenance / Security Bugfix | ||
* | :Operating System: | ||
* Aktualisierung des Betriebssystems und aller Komponenten | |||
{{var | | * Aktualisierung des SSH-Dienstes auf Version 9.6p1 ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-48795 CVE-2023-48795]) | ||
| | * Aktualisierung des DHCP-Clients | ||
* Das SOC wird nicht mehr unterstützt {{Alert|fa=fas}} | |||
;'''Redesign des Webinterfaces''' {{Bild|{{#var:Redesign-Netzwerk--Bild}}|Menü: Netzwerk / Netzwerkkonfiguration|class=Bild-t noborder}} | |||
* {{c|Benutzeroberfläche wurde mit einem neuen Design vollständig überarbeitet|blau|class=inline | fw=bold}} | |||
* Konfiguration lässt sich mithilfe einer Tastenkombination speichern {{info|1=<span class="mw8 inline-block"><span class=key>Strg</span> <span class=key>alt</span> <span class=key>s</span> <br>bzw.<span class=key>ctrl</span> <span class=key>cmd <i class="fal fa-command"></i></span> <span class=key>s</span></span>}} | |||
* Es lassen sich vordefinierte [[UTM/NET/Syslog | Syslog]] Filter im Live-Log auswählen | |||
| | * Der aktuelle [[USC/UTM | USC]] Verbindungsstatus wird angezeigt | ||
* Ein bereits vorhandener [[UTM/AUTH/Benutzerverwaltung#Support-Benutzer | Support-Benutzer]] lässt sich löschen und neu anlegen | |||
* Der "Portfilter" wurde in [[UTM/RULE/Paketfilter | Paketfilter]] umbenannt | |||
* Das DHCP-[[UTM/Widgets | Widget]] wurde durch einen neuen Netzwerktopologie-Dialog ersetzt | |||
;Features | |||
: Neue Anwendungen: | |||
{{var | 1=Build 12. | * Ein [[UTM/APP/IGMP_Proxy | IGMP-Proxy-Dienst ]] lässt sich konfigurieren | ||
| 2= | * Der Nameserver hat einen [[UTM/APP/Nameserver#mDNS-Repeater | MDNS-Repeater]] | ||
;Maintenance / Security Bugfix | :Wireguard: | ||
* | * Import von bestehenden [[UTM/VPN/WireGuard-S2E#Konfiguration_UTM | Konfigurationen]] im WireGuard Assistenten | ||
* | * Der Status der impliziten [[UTM/VPN/WireGuard | Wireguard-Regel]] wird mit angezeigt | ||
* | * X25519 Schlüssel lassen sich mit einem Private-Key für [[UTM/VPN/WireGuard-Peer | Peers]] konfigurieren | ||
* | :IPSec: | ||
* Es lassen sich mehrere [[UTM/VPN/SSL_VPN_zu_IPSec-Ziel | Ciphersuite-Optionen]] für IKEv2 auswählen | |||
:Cluster: | |||
* Der [[UTM/CLI/System | ''system info'']] Befehl gibt auch Informationen zum aktuellen Cluster-Status aus | |||
: Fallback: | |||
* Es sind jetzt mehrere [[UTM/NET/Fallback#Fallback | Ping Check]] Ziele möglich | |||
:SNMP: | |||
* Name einer OpenVPN-Verbindung lässt sich mit [[UTM/NET/SNMP | SNMP]] auslesen | |||
:Mailfilter: | |||
* Anhand von ausgewählten E-Mails lassen sich [[UTM/APP/Mailfilter#Tags | Patterns]] zum gezielten Blocken erstellen | |||
* Erkennung von möglicherweise gefälschten [[UTM/APP/Mailfilter#Kriterien | Links]] in E-Mails wurde hinzugefügt | |||
:Alerting Center: | |||
* [[UTM/AlertingCenter#Funktionstest | Testberichte]] lassen sich manuell abschicken | |||
:Paketfilter: | |||
* Automatisch generierte Gruppen sind [[UTM/RULE/Paketfilter | konfigurierbar]] | |||
:Schlüssellängen: | |||
* [[UTM/AUTH/Zertifikate-ACME#ACME-Zertifikate |ACME Account-Schlüssellänge]] lässt sich einstellen | |||
* Die Schlüssellänge ist bei der Erstinstallation für [[UTM/AUTH/Zertifikate#CA_erstellen | CA und Serverzertifikat]] einstellbar | |||
:Neue Funktionen: | |||
* Statische IPv6-Routen mit einer Gateway-IP lassen sich einer Schnittstelle direkt zuordnen | |||
* Beim Verändern von Schnittstellen können betroffene [[UTM/NET/Ethernet#Anlegen_einer_Ethernet-Schnittstelle | Netzwerkobjekte]] dynamisch angepasst werden | |||
* Beim Router Advertisement lässt sich einstellen, ob sowohl IPv4 und IPv6 Adressen vergeben werden sollen oder nur IPv4 | |||
* Radius Timeout für SSL-RW OpenVPN Verbindungen ist über das CLI konfigurierbar | |||
* Verwendung des Provider DNS-Servers lässt sich beim [[UTM/APP/Nameserver | Nameserver Dienst]] ein- und ausschalten | |||
;Bugfixes | ;Bugfixes | ||
* Fehler | * Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert | ||
* | * Authentifizierung mit E-Mail-Adressen funktionierte nicht mit Entra ID (Azure AD) | ||
| 3= | * Doppelte Leerzeichen im Namen einer CA verhinderten das Laden von IPSec-Verbindungen | ||
;Maintenance / Security Bugfix | * Beim "DHCP Lease hinzufügen" Dialog wurden Doppelpunkte im Leasenamen für IPv6-Verbindungen vorgeschlagen | ||
* Proxy-Widget Statistiken wurden nicht vollständig aktualisiert | |||
* Update of | * Im Alerting Center Log wurden einzelne Platzhalter nicht richtig ersetzt | ||
* Update of | * PPTP-Interface hinzufügen Fehlermeldung wurde korrigiert | ||
* | | 3=;Maintenance / Security Bugfix | ||
; | :Operating System: | ||
* | * Update of the operating system and all components | ||
* Update of the SSH service to version 9.6p1 ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-48795 CVE-2023-48795]) | |||
{{ | * Update of the DHCP client | ||
* The SOC feature is no longer supported{{Alert|fa=fas}} | |||
;'''Redesign of the Webinterfaces''' {{Bild|{{#var:Redesign-Netzwerk--Bild}}|Menu: Network / Network configuration|class=Bild-t noborder}} | |||
* | * {{c|User interface has been completely revised with a new design|blau|class=inline | fw=bold}} | ||
* | * Configuration can be saved using a key combination {{info|1=<span class="mw8 inline-block"><span class=key>Ctrl</span> <span class=key>alt</span> <span class=key>s</span> <br>resp.<span class=key>Ctrl</span> <span class=key>cmd <i class="fal fa-command"></i></span> <span class=key>s</span></span>}} | ||
* | * Predefined [{{#var:host}}UTM/NET/Syslog Syslog] filters can be selected in the live log | ||
* The current [{{#var:host}}USC/UTM USC] connection status is displayed | |||
;Features | * An existing [{{#var:host}}UTM/AUTH/Benutzerverwaltung#Support_user Support user] can be deleted and created again | ||
: | * The "Port filter" has been renamed [{{#var:host}}UTM/RULE/Paketfilter Packet filter] | ||
* | * The DHCP UTM/Widgets Widget] has been replaced by a new network topology dialog | ||
: | ;Features | ||
* | : New applications: | ||
* A [{{#var:host}}UTM/APP/IGMP_Proxy IGMP proxy service] can be configured | |||
* | * The name server has a [{{#var:host}}UTM/APP/Nameserver#mDNS-Repeater MDNS-Repeater] | ||
:Wireguard: | |||
* | * Import of existing [{{#var:host}}UTM/VPN/WireGuard-S2E#Configuration_UTM Configurations] in the WireGuard assistant | ||
* The status of the implicit [{{#var:host}}UTM/VPN/WireGuard Wireguard rule] is displayed with | |||
* | * X25519 keys can be configured with a private key for [{{#var:host}}UTM/VPN/WireGuard-Peer peers] | ||
:IPSec: | |||
* | * Multiple [{{#var:host}}UTM/VPN/SSL_VPN_zu_IPSec-Ziel ciphersuite options] can be selected for IKEv2 | ||
:Cluster: | |||
* | * The [{{#var:host}}UTM/CLI/System ''system info''] command also provides information on the current cluster status | ||
:Fallback: | |||
* Now, multiple [{{#var:host}}UTM/NET/Fallback#Fallback ping check] destinations are possible | |||
* | :SNMP: | ||
* | * Name of an OpenVPN connection can be read out via [{{#var:host}}UTM/NET/SNMP snmp] | ||
:Mailfilter: | |||
* | * [{{#var:host}}UTM/APP/Mailfilter#Tags Patterns] for targeted blocking can be created based on selected emails | ||
* Detection of potentially forged [{{#var:host}}UTM/APP/Mailfilter#Kriterien links] in emails has been added | |||
: | :Alerting Center: | ||
* [{{#var:host}}UTM/ | * [{{#var:host}}UTM/AlertingCenter#Funktionstest Test reports] can be sent manually | ||
:Packetfilter: | |||
* | * Automatically generated groups are [{{#var:host}}UTM/RULE/Paketfilter configurable] | ||
:Key lengths: | |||
* [{{#var:host}}UTM/AUTH/Zertifikate-ACME#ACME Certificates ACME account key length] can be set | |||
* The key length can be set during the initial installation for [{{#var:host}}UTM/AUTH/Zertifikate#Create_CA CA and Server certificate] | |||
:New functions: | |||
* Static IPv6 routes with a gateway IP can be assigned directly to an interface | |||
* When changing interfaces, affected [{{#var:host}}UTM/NET/Ethernet#Create_an_Ethernet_interface Network_objects] can be adapted dynamically | |||
* Router Advertisement allows you to set whether both IPv4 and IPv6 addresses should be assigned for the respective interface or only IPv4 | |||
* Radius timeout for SSL-RW OpenVPN connections can be configured via CLI | |||
* Use of the provider DNS server can be switched on and off in the [{{#var:host}}UTM/APP/Nameserver name server] service | |||
;Bugfixes | ;Bugfixes | ||
* Fixed a | * Fixed visual errors and user interface hints in some dialogs | ||
* Authentication with email addresses did not work with Entra ID (Azure AD) | |||
* | * Double spaces in the name of a CA prevented the loading of IPSec connections | ||
* In the "Add DHCP Lease" dialog, colons were suggested in the lease name for IPv6 connections | |||
* Proxy widget statistics were not fully updated | |||
* Individual placeholders were not replaced correctly in the Alerting Center log | |||
* | * PPTP interface add error message has been corrected }} | ||
* | {{var | Build 12.5.5--desc | ||
* | | | ||
;Security Bugfix / Maintenance | |||
* Behobene Sicherheitslücke im Zusammenhang mit der Mailrelay-Anwendung ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-51764 CVE-2023-51764]) | |||
{{var | | | ;Security Bugfix / Maintenance | ||
| | * Fixed Security vulnerability related to the mail relay application ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-51764 CVE-2023-51764]) }} | ||
; | {{var | Build 12.5.4.1--desc | ||
* | | | ||
;Security Bugfix / Maintenance | |||
* Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49286 CVE-2023-49286], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49285 CVE-2023-49285], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-50269 CVE-2023-50269]) | |||
; | | | ||
;Security Bugfix / Maintenance | |||
* [ | * Fixed vulnerabilities related to HTTP proxy service ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49286 CVE-2023-49286], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49285 CVE-2023-49285], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-50269 CVE-2023-50269]) }} | ||
{{var | CVE-2023-50269--info | |||
| CVE-2023-50269: ''Squid-Proxy - Denial of Service durch Endlosschleife''<p>{{whitebox|follow_x_forwarded_for}}</p>Sicherheitslücke durch Patch beseitigt<br>CVE-Kategorisierung erfolgte erst später.<br><small>Eintrag ergänzt am 15.12.2023</small> | |||
* | | CVE-2023-50269: ''Squid-Proxy - Denial of service through endless loop''<p>{{whitebox|follow_x_forwarded_for}}</p>Security gap eliminated by patch<br>CVE categorization took place at a later date.<br><small>Entry completed on 15.12.2023</small> }} | ||
{{var | Build 12.5.4--desc | |||
: | | | ||
;Bugfixes | |||
* Bei Verwendung des Traceroute Netzwerktools wurde unter Umständen das Ergebnis stark zeitverzögert oder gar nicht angezeigt | |||
* | * Beim Mailscanner wird das FILTERED Flag im Syslog nun nur noch angezeigt, falls der Body verändert wurde sowie bei Anwendung der TNEF-Decodierung | ||
: | * SNI Validierung beim HTTP Proxy ließ sich nicht über das Administrations-Webinterface deaktivieren | ||
* Fehler behoben, durch den keine Verbindung zu einem SSL-VPN Tunnelblick Client aufgebaut werden konnte | |||
| | |||
* | ;Bugfixes | ||
* When using the traceroute network tool, the result was sometimes displayed with a long delay or not at all | |||
* | * The mail scanner FILTERED flag is now only displayed in the syslog if the body has been changed or if TNEF decoding is used | ||
* SNI validation for the HTTP proxy could not be deactivated via the administration web interface | |||
* Fixed a bug where no connection to an SSL VPN tunnelblick client could be established }} | |||
{{var | 1=Build 12.5.3.1--desc | |||
| 2= | |||
;Bugfixes | ;Bugfixes | ||
* Fehler behoben, | * Unter Umständen konnten IPSec Verbindungen eine erhöhte Systemlast hervorrufen | ||
* | * Fehler behoben, bei dem eine Authentifizierung am Captive Portal mit abgelaufenen Captive Portal Benutzern weiterhin möglich war | ||
* Captive Portal Portfilter Regel wurde nicht mehr erkannt und konnte nicht mehr angelegt werden | |||
* | * Eine SNMP-Abfrage des IPSec Status war nach einem Neustart nicht möglich | ||
| 3= | |||
;Bugfixes | |||
* | * Under certain circumstances IPSec connections could cause an increased system load | ||
* | * Fixed a bug where authentication on captive portal with expired captive portal users was still possible | ||
* | * Captive Portal portfilter rule was no longer recognized and could not be created | ||
* | * An SNMP query of the IPSec status was not possible after a restart }} | ||
| 3= | {{var | 1=Build 12.5.3--desc | ||
| 2= | |||
;Maintenance / Security Bugfix | ;Maintenance / Security Bugfix | ||
* | * Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-46784 CVE-2021-46784],[https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41317 CVE-2022-41317])<br>Hinweis: Es liegen nicht für alle korrigierten Sicherheitslücken CVEs vor. | ||
* Aktualisierung von OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4807 CVE-2023-4807]) | |||
* Aktualisierung des Linux-Kernels | |||
; | * Aktualisierung des Virenscanners | ||
;Bugfixes | |||
* Fehler bei der CLI Autovervollständigung wurde behoben | |||
* Fehler behoben, bei welchem die Wireguard Konfiguration nicht gelöscht wurde | |||
| 3= | |||
* | ;Maintenance / Security Bugfix | ||
* Fixed vulnerabilities related to HTTP proxy service ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-46784 CVE-2021-46784],[https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41317 CVE-2022-41317])<br>Note: CVEs are not available for all corrected vulnerabilities. | |||
* Update of OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4807 CVE-2023-4807]) | |||
* | * Update of Linux-Kernel | ||
* Virus scanner update | |||
* | |||
* | |||
: | |||
* | |||
;Bugfixes | ;Bugfixes | ||
* | * CLI autocomplete bug has been fixed | ||
* | * Fixed a bug where the Wireguard configuration was not deleted }} | ||
{{var | 1=Build 12.5.2--desc | |||
| 2= | |||
{{var | 1=Build 12.5. | |||
| 2= | |||
;Maintenance / Security Bugfix: | ;Maintenance / Security Bugfix: | ||
* Aktualisierung | * Aktualisierung von curl ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38545 CVE-2023-38545]), ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38546 CVE-2023-38546]) | ||
* Aktualisierung von glibc ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4911 CVE-2023-4911]) | |||
* Webserver-Zertifikate werden beim erneuten Generieren und bei einer Neuinstallation mit einer 4096bit-RSA Schlüssellänge erstellt | |||
;Features | * Standard RSA Schlüssellänge wird bei einer Neuinstallation für ACME Accounts auf 3072bit erhöht | ||
: | ;Features | ||
* [[UTM/ | :HTTP Proxy: | ||
* Es lassen sich [[UTM/APP/HTTP_Proxy#SSL-Interception | SSL-Interception Ausnahmen für SNI]] aktivieren | |||
:USC: | |||
: | * Bestimmte USC-Befehle erfordern zum Ausführen einen gesetzten [[USC/UTM | Websession-PIN]] | ||
* | ;Bugfixes | ||
* Fehler behoben, durch den SSL VPN Clientnetzwerke sich nicht bearbeiten ließen | |||
* | * Unter Umständen wurde der IPSec Status für bestehenden Verbindungen falsch angezeigt | ||
* AD/LDAP Einstellungen unterstützen nun IPv6 | |||
* | * Ein widerrufenes Client Zertifikat wurde beim Reverse Proxy nicht richtig übermittelt | ||
* Fehler behoben, durch den Benutzernamen mit Leerzeichen nicht mit NTLM Authentifizierung beim HTTP Proxy funktionierten | |||
* | * Netzwerkobjekte, welche Hostnamen beinhalten, werden im Administrations-Webinterface gekennzeichnet | ||
* Beim HTTP Proxy war es nicht möglich VLAN Adressen als ausgehende IP einzustellen | |||
* | * Beim Administrations-Webinterface wurden nicht alle Informationen für Netzwerkobjekte angezeigt | ||
* Fehler behoben, durch den eine ACME Zertifikatserneuerung nicht ausgeführt wurde | |||
* | | 3= | ||
: | ;Maintenance / Security Bugfix | ||
* Update of curl ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38545 CVE-2023-38545]), ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38546 CVE-2023-38546]) | |||
: | * Update of glibc ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4911 CVE-2023-4911]) | ||
* Web server certificates are now created with a 4096bit RSA key length when regenerating and reinstalling | |||
* Default RSA key length of ACME accounts increased to 3072bit for new installations | |||
;Features | |||
:HTTP Proxy: | |||
* | * [{{#var:host}}UTM/APP/HTTP_Proxy#SSL-Interception SSL interception exceptions for SNI] can now be configured | ||
* | :USC: | ||
* Certain USC commands require a set [{{#var:host}}USC/UTM web session PIN] to be executed | |||
* | ;Bugfixes | ||
: | * Fixed a bug that prevented SSL VPN client networks from being edited | ||
* | * Under certain circumstances the IPSec status for existing connections was displayed incorrectly | ||
* | * AD/LDAP now correctly supports IPv6 | ||
* | * A revoked client certificate was not correctly submitted to the reverse proxy | ||
* Usernames with spaces were unuseable with NTLM authentication for the http proxy | |||
* Network objects containing hostnames will be marked in the administration web interface | |||
* It was not possible to set vlan addresses as outgoing ips for the http proxy | |||
* | * Not all information for network objects was displayed in the administration web interface | ||
* Fixed a bug that prevented ACME certificate renewal from being executed }} | |||
* | |||
* | {{var | 1=Build 12.5.1--desc | ||
* | | 2= | ||
| | |||
;Maintenance / Security Bugfix: | ;Maintenance / Security Bugfix: | ||
* | * Aktualisierung von Komponenten | ||
* VPN Client wurde auf 2.0.40 aktualisiert | |||
* Reseller Preview Versionen werden nun gesondert kenntlich gemacht | |||
;Features | ;Features | ||
: | :Operating System: | ||
* [[UTM/AUTH/Zertifikate | Veraltete kryptografische Algorithmen]] für Zertifikate (SSL Legacy Support) sind im Webinterface konfigurierbar <br>{{Alert}} Es wird nicht empfohlen diese Option zu verwenden | |||
* [[UTM/AUTH/ | * IPv4/IPv6 ''route hints'' lassen sich nun auch vergeben, wenn die jeweils andere IP Version mit DHCP eingestellt ist | ||
* | :USC / USR: | ||
* | * Zu UTMs ohne öffentliche IP-Adresse, die mit dem Portal verbunden sind, kann nun eine Websession geöffnet werden | ||
* | * [[USC/Websession#Websession_starten_mit_UTM_ab_v12.5.1 | Websessions]] sind nun auch verwendbar, wenn es keinen "admin" Benutzer gibt | ||
: | :Wireguard: | ||
* | * Der Wireguard Wizard lässt nun das Ändern des [[UTM/AUTH/Benutzerverwaltung | Endpunkt Ports]] zu | ||
:Mailconnector: | |||
* Bei [[UTM/APP/Mail_Connector#Dienste | Mailconnectorverbindungen]] lässt sich nun die TLS Version einstellen | |||
* [[UTM/ | :Alerting Center | ||
: | * Für [[UTM/APP/Mailrelay#Signierung | Alerting-Center-E-Mails]] kann nun DKIM aktiviert werden | ||
* [[UTM/ | :Administrations-Webinterface: | ||
: | * In den [[UTM/AUTH/AD_Anbindung#Erweiterte_Einstellungen | AD/LDAP Einstellungen]] kann nun das selbe LDAP-Attribut für mehrere Attribute verwendet werden | ||
* | :Sonstiges: | ||
: | * Option zu [[UTM/VPN/SSL_VPN-Roadwarrior#Erweitert | SSL-VPN]] Verbindungen hinzugefügt, die es ermöglicht, sich von mehreren Quellen mit den gleichen Zugangsdaten einzuwählen | ||
* | ;Bugfixes | ||
: | * Fehler behoben, durch den sensible Daten im Audit-Log auftauchen konnten | ||
* | * Es sind nun keine Hostnamen mehr als Fallback-Einstellung zulässig | ||
: | * Gruppen ohne Berechtigungen konnten nicht mehr gespeichert werden | ||
* | * Ausnahme der ''Rekey'' und ''Lifetime'' Anpassungen für IKEv1 hinzugefügt | ||
: | * Fehler behoben, durch den nur noch ein DNS Server im DHCP Pool gespeichert wurde | ||
* | * Abändern von Benachrichtigungsleveln im Alerting Center wurde unter Umständen nicht korrekt umgesetzt | ||
: | * E-Mail Adressen von öffentlichen Ordnern auf einem Exchange wurden nicht mehr korrekt ausgelesen | ||
* [[UTM/ | * Router Advertisement wurde bei der Erstellung eines IPv6-DHCP-Pools nicht korrekt berücksichtigt | ||
: | * Alerting Center Berichte wurden auch verschickt, wenn keine Vorfälle aufgetreten sind | ||
* | * Fehler behoben durch den IPv6 Adressen nur mit eckigen Klammern bei den AD/LDAP Einstellungen verwendet werden konnten | ||
| 3= | |||
;Maintenance / Security Bugfix | |||
* [[UTM/ | * Updated Components | ||
* VPN client updated to version 2.0.40 | |||
* | * Reseller preview versions are now marked as such in the update dialog | ||
* | ;Features | ||
* | :Operating System: | ||
* [[UTM/AUTH/Zertifikate | SSL legacy support]] can now be configured via webinterface. It is not recommended to use this option | |||
* IPv4/IPv6 route hints can now be assigned even if the respective other ip version is configured for dhcp | |||
:USC / USR: | |||
* | * UTMs without a public address, that are connected to the portal, can now be connected to via websession | ||
* [[USC/Websession#Websession_starten_mit_UTM_ab_v12.5.1 | Websessions]] can now be used by other users when there is no "admin" | |||
* Error | :Wireguard: | ||
* | * [[UTM/AUTH/Benutzerverwaltung | Endpoint port]] can now be changed during the wireguard wizard | ||
* | :Mailconnector: | ||
* TLS Version can now be changed for [[UTM/APP/Mail_Connector#Dienste | mailconnector]] connections | |||
* | :Alerting Center | ||
* | * DKIM can now be activated for [[UTM/APP/Mailrelay#Signierung | alerting center mails]] | ||
:Administrations-Webinterface: | |||
* When configuring [[UTM/AUTH/AD_Anbindung | AD/LDAP]] you can now use the same LDAP attribute for multiple local attributes | |||
:Other: | |||
* Option added to [[UTM/VPN/SSL_VPN-Roadwarrior#Erweitert | SSL-VPN]] connections to allow multiple roadwarriors to connect using the same credentials | |||
;Bugfixes | |||
* Error fixed that could lead to sensitive data being shown in the audit log | |||
* Hostnames are no longer allowed as fallback targets | |||
* Groups without any permissions could not be saved | |||
* Exception for IKEv1 added for the rekey and lifetime adaptation | |||
* Error fixed that caused only one DNS server to be saved in DHCP pools | |||
* Changing notification levels in the alerting center was not done correctly | |||
* Mail addresses of public folders on exchange servers were not correctly read out | |||
* Router advertisement was not correctly added when creating an IPv6 dhcp pool | |||
* Alerting center reports were sent even if there was nothing to report | |||
* IPv6 adresses could only be added with square brackets during AD/LDAP configuration | |||
}} | |||
{{var | Build 12.4.4.1--desc | |||
{{var | Build 12.4.4--desc | |* Security Bugfix: ClamAV wurde aktualisiert ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40477 CVE-2023-40477]) | ||
|; | * Maintenance: IPSec strongswan wurde aktualisiert | ||
|* Security Bugfix: ClamAV has been updated ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40477 CVE-2023-40477]) | |||
* Maintenance: IPSec strongswan was updated}} | |||
{{var | Hinweis Mail-Security-Komponente | |||
| Kommunikation in das Internet über Port 55555 ggf. erforderlich | |||
| Communication to the Internet via port 55555 may be required. }} | |||
{{var | Hinweis Mail-Security-Komponente--info | |||
| Durch Aktualisierung einer Mail-Security-Komponente ab v12.3.1 ist es unter Umständen nötig sicherzustellen, daß die Securepoint UTM mit dem TCP Port 55555 in das Internet kommunizieren kann. | |||
| An update to a mail-security-component in v12.3.1 may make it necessary for the Securepoint UTM to connect to the internet via port 55555 }} | |||
{{var | 1=Build 12.5.0--desc | |||
| 2=<p> | |||
;Maintenance / Security Bugfix: | |||
* Aktualisierung des Nameservers ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2911 CVE-2023-2911], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2828 CVE-2023-2828], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2829 CVE-2023-2829]) | |||
</p> | |||
<p> | |||
;Features: | |||
:<u>Operating System:</u> | :<u>Operating System:</u> | ||
* | * [[UTM/EXTRAS/Firmware_Update#Firmware_Update | Automatische Firmware Updates]] können nun lokal konfiguriert werden | ||
* [[UTM/AUTH/AD_Anbindung#UTM_mit_Azure_AD_anbinden | Azure]] kann nun zur Benutzerverwaltung angebunden werden<br><i class="fal fa-construction"></i> Known Issue: Das Mailrelay funktioniert noch nicht mit Azure Benutzer Konten<br><i class="fal fa-construction"></i> Known Issue: Azure Benutzer mit MFA Login können nicht verwendet werden | |||
* Zu der vorhandenen Fail2ban Funktion, wurde eine weitere Sicherung eingebaut um falsche[[UTM/Administration#Begrenzung_/_Drosselung_der_Login-Versuche | Login-Versuche]] zu drosseln | |||
:<u>USC / USR:</u> | |||
* | * Die [[USC/Websession#Websession | Websession]] wird nun durch eine PIN abgesichert<br><i class="fal fa-construction"></i> Known Issue: Websession Login per Benutzermaske funktioniert noch nicht und wird ab Version 12.5.2 implementiert | ||
:<u>IPSec:</u> | |||
:<u> | * [[UTM/VPN/IPSec-S2S#IKEv2 | Rekeying und Lifetime]] werden nach dem Update auf Version 12.5.0 für eine verbesserte Kompatibilität angepasst | ||
* | :<u>WireGuard:</u> | ||
* [[UTM/Widgets#WireGuard | Widget für WireGuard-Verbindungen]] zeigt nun auch Benutzern zugeteilte Verbindungen mit Status an | |||
:<u>Cluster:</u> | |||
* Cluster [[UTM/NET/Cluster-Management#Wartungsmodus | Wartungsmodus]] lässt sich nun im neuen Reiter Management einstellen | |||
:<u>HTTP Proxy:</u> | |||
* Option um Verbindungsorientiere [[UTM/APP/HTTP_Proxy#Allgemein | Microsoft-Authentifizierung]] weiterzuleiten lässt sich konfigurieren | |||
:<u>DHCP:</u> | |||
* Ein [[UTM/NET/DHCP_Server-v4#Reiter_Einstellungen | next-server]] lässt sich nun bei DHCP Verbindungen einstellen | |||
:<u>Mailconnector:</u> | |||
* [[UTM/APP/Mail_Connector#Dienste | Prüfung von Zertifikaten]] ist nun konfigurierbar | |||
:<u> | |||
* [[UTM/ | |||
* | |||
:<u> | |||
* | |||
:<u>Mailfilter:</u> | :<u>Mailfilter:</u> | ||
* | * Eine neue Kategorie "Unbekannt" ist nun im [[UTM/APP/Webfilter#Regel_hinzufügen | Web- und Mailfilter]] verfügbar | ||
:<u>Alerting Center:</u> | :<u>Alerting Center:</u> | ||
* | * [[UTM/AlertingCenter#Über_Ereignisse_gesteuerte_Benachrichtigungen | Neue Benachrichtigung]] für das Ereignis ''Fehlgeschlagene Websession-PIN-Verifikationen'' | ||
:<u>Administrations-Webinterface:</u> | |||
:<u> | * Einrichtung von Netzwerkobjekten [[UTM/NET/PPPoE | PPPoE und VDSL]] wurde zusammengefasst | ||
* | * Ablaufdatum von importierten CRLs wird nun angezeigt | ||
:<u> | * Passwörter lassen sich nun ein- und ausblenden | ||
* Für | * Die [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren | Konfiguration für das Export-Ziel und -Format]] von Schlüsseln wurde überarbeitet | ||
:<u>Sonstiges:</u> | |||
* Für Neuinstallationen ist die [[UTM/RULE/Implizite_Regeln#Kein_NAT | implizite Regel "Kein NAT für IPSec-Verbindungen"]] für IPSecTraffic standardmäßig aktiviert | |||
* Der Validator von extc wurde erweitert um ungültige Einträge anzuzeigen | |||
* Deaktivierung CLAMAV Virenscan Engine | |||
</p> | |||
<p> | <p> | ||
; Bugfixes: | ;Bugfixes: | ||
* Fehler behoben durch | * Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: Erstinstallation, Netzwerkobjekte, Wireguard, Portfilter | ||
* | :<u>Sonstiges:</u> | ||
* Fehler behoben, durch welchen eine falsche Absender Adresse für Alerting-Center E-Mails gesetzt wurde | |||
* Fehler behoben | * DHCP Pools mit einem "global" Namen wurden nicht in der Benutzeroberfläche dargestellt | ||
* Eine | * Eine gleichzeitige [[UTM/VPN/IPSec-DHCP | Konfiguration eines DHCP Servers und einer DHCP Schnittstelle]] wird nun für IPSec unterbunden | ||
* | * Fehler im Mailarchiv behoben bei welchem eine Message-ID als Absender angezeigt wurde | ||
* | * Eine gesetzte Mailfilter-Regel wurde unter Umständen nicht richtig umgesetzt | ||
* Eingeloggte Administratoren konnten ihren eigenen Benutzer löschen oder umbenennen | |||
</p> | |||
| 3=<p> | |||
;Maintenance / Security Bugfix: | |||
* Nameserver update | |||
</p> | </p> | ||
<p> | <p> | ||
; | ;Features: | ||
* | :<u>Operating System:</u> | ||
* | * Automatic system updates can now be configured local | ||
* | * [[UTM/AUTH/AD_Anbindung#UTM_mit_Azure_AD_anbinden | Azure]] can now be used for user management | ||
* | * Known Issue: The mailrelay is not operable with azure users yet | ||
* | * Known Issue: Azure users with MFA login can not be used yet | ||
* | * A limit for failed [[UTM/Administration#Begrenzung_/_Drosselung_der_Login-Versuche | login attempts]] was implemented | ||
* | :<u>USC / USR:</u> | ||
</ | * A [[USC/Websession#Websession | websession]] can now be secured with a PIN | ||
* Known Issue: Websession login via user login mask is not yet operational and will be implemented by version 12.5.2 | |||
:<u>IPSec:</u> | |||
* [[UTM/VPN/IPSec-S2S#IKEv2 | Rekeying and lifetime]] will be adapted for better compatibility with an update to version 12.5.0 | |||
:<u>WireGuard:</u> | |||
* [[UTM/Widgets#WireGuard | WireGuard widget]] will now show user assigned connections with status | |||
:<u>Cluster:</u> | |||
* Cluster [[UTM/NET/Cluster-Management#Wartungsmodus | maintenance mode]] can now be toggled in the new management tab | |||
:<u>HTTP Proxy:</u> | |||
:<u> | * Option to forward [[UTM/APP/HTTP_Proxy#Allgemein | Microsoft connection oriented authentication]] was added | ||
* | :<u>DHCP:</u> | ||
* | * DHCP server can now be configured with a [[UTM/NET/DHCP_Server-v4#Reiter_Einstellungen | next-server]] | ||
:<u>Mailconnector:</u> | |||
* Verification of certificates can now be configured | |||
:<u>Mailfilter:</u> | |||
* A new category "Unknown/Unbekannt" was added to the [[UTM/APP/Webfilter#Regel_hinzufügen | web- and mailfilter]] | |||
:<u>Alerting Center:</u> | |||
* [[UTM/AlertingCenter#Über_Ereignisse_gesteuerte_Benachrichtigungen | A new alert]] was added for failed websession PIN verifications | |||
:<u>Administrations-Webinterface:</u> | |||
* Adding a new network object using [[UTM/NET/PPPoE | PPPoE and VDLS]] was merged | |||
* Expiration date of imported CRLs is now shown | |||
* Passwords can now be toggled visible | |||
* [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren | Export destination]] selection for keys was improved | |||
:<u>Other:</u> | |||
* New installations have the implied rule "Disable Hide NAT" activated by default | |||
* Extc validator was modified to prevent invalid inputs | |||
* Deactivation CLAMAV Virus Scan Engine | |||
</p> | </p> | ||
<p> | <p> | ||
; | ;Bugfixes: | ||
* Visual bugs and new hints were corrected and added in the admin ui: Installation wizard, network configuration, wireguard, portfilter | |||
:<u>Other:</u> | |||
* Error was fixed that caused a wrong sender address to be used for alerting-center mails | |||
* DHCP pools with a global name were not shown in the admin ui | |||
* Simultaneous configuration of a DHCP server and a DHCP interface for IPSec will now be prohibited | |||
* Error was fixed that showed a message-id as the sender in the mailarchive | |||
* A new mailfilter rule was not used under certain circumstances | |||
* Logged in administrators were able to delete or rename their own user | |||
</p> }} | |||
{{var | Build 12.4.4--desc | |||
|;Feature: | |||
:<u>Operating System:</u> | :<u>Operating System:</u> | ||
* | * Wurde bisher keine globale E-Mail Adresse in der UTM festgelegt, wird diese nun abgefragt | ||
* | ;Bugfix: | ||
:<u> | * Fehler behoben, der bei UTMs mit konfiguriertem Full Cone NAT unter Umständen zu unkontrollierten Neustarts führte | ||
* | * Fehler behoben, durch den der letzte Benutzer mit Administrator-Rechten nicht bearbeitet werden konnte | ||
* | * Im Regel hinzufügen Dialog wird QoS nun korrekt deaktiviert | ||
* | |;Feature: | ||
* | :<u>Operating System:</u> | ||
* | * If no global email address has been set yet, it will be requested upon login | ||
;Bugfix: | |||
:<u> | * UTMs with configured full cone NAT could run into uncontrolled reboots | ||
* [[UTM/ | * The last user with administration-rights could not be edited | ||
* QoS is now correctly deactivated in the add rule dialog }} | |||
* | |||
:<u> | {{var | Hinweis Globale Mailadresse | ||
* | | Unter {{Menu|Netzwerk|Servereinstellungen}} '''muss''' eine {{b|Globale E-Mail Adresse}} hinterlegt sein.<br>Andernfalls starten Mailconnector und Proxy nicht! | ||
| Under {{Menu|Network|Appliance Settings}} '''must''' be a {{b|Global email address}}.<br>Otherwise Mailconnector and Proxy will not start! }} | |||
:<u> | {{var | Build 12.4.2.1--desc | ||
* [[UTM/ | |* Bugfix: Fehler behoben durch den bei einer automatischen Aktualisierung über die Unified Security Console unter Umständen das Update nicht automatisch finalisiert wurde | ||
* | |* Bugfix: When using automatic updates via Unified Security Console an update may, under certain circumstances, not be automatically finalized }} | ||
* | |||
:<u> | {{var | Build 12.4.2--desc | ||
* | |* Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen. | ||
* | |* This version has been approved for end customers and is intended for use in production environments. }} | ||
:<u> | |||
* [ | {{var | Build 12.4.1--desc | ||
|; Features: | |||
:<u>SSL-VPN:</u> | |||
* [ | * [[UTM/VPN/SSL_VPN-Roadwarrior#Renegotiation | Renegotiation Optionen bei SSL-VPN Roadwarrior-Verbindungen]] wurden um die Option "12 Stunden" erweitert | ||
* Option zu [[UTM/VPN/SSL_VPN-S2S | SSL-VPN Server Site to Site Konfigurationen]] hinzugefügt, bei der nur explizit zugewiesenen Zertifikaten eine Verbindung erlaubt wird | |||
:<u> | :<u>WireGuard:</u> | ||
* | * Der WireGuard Wizard wurde um die Option ergänzt, per [[UTM/VPN/WireGuard-Peer | AD konfigurierte Peers zu berücksichtigen]] | ||
* | :<u>Mailfilter:</u> | ||
* | * [[UTM/APP/Mailfilter#Regel_hinzufügen | Neue Kategorie "Untersuchung"]] wurde zum Mailfilter hinzugefügt, basierend auf dem neuen Spamfilter | ||
</ | * [[UTM/APP/Webfilter-CF_Kategorien | Threat Intelligence Filter]] wurde nun auch für UTM VPN Edition aktiviert | ||
:<u>Alerting Center:</u> | |||
* Im Alerting Center Report werden nun in Kürze ablaufende Zertifikate vermerkt | |||
:<u> | * Im Alerting Center lässt sich nun ein [[UTM/AlertingCenter#Umgehender_E-Mail_Bericht | alternativer Empfänger für Berichte konfigurieren]] | ||
* | :<u>OTP:</u> | ||
:<u> | * Für OTP lassen sich nun [[UTM/AUTH/OTP#Benutzer_mit_OTP_einrichten | SHA1, SHA256 oder SHA512]] einstellen | ||
* | :<u>Cluster:</u> | ||
* | * Für Cluster gibt es nun die Option, dass [[UTM/NET/Cluster-Updateverfahren | neu heruntergeladene Firmwareupdates automatisch, oder bereits aktivierte Firmwareupdates per Knopfdruck, auf der jeweils anderen UTM bereitgestellt werden]] | ||
* | <p> | ||
* | ; Bugfixes: | ||
* | * Fehler behoben durch den leere E-Mailgruppen auf einem AD nicht mehr korrekt erkannt wurden | ||
</p> | * Die Einstellung "DNS Anfragen nur aus gerouteten und VPN-Netzwerken erlauben" wurde erst nach Neustart des DNS-Services wirksam | ||
| | * Beim Umbenennen von Benutzern konnte es zu Fehlern kommen | ||
;Maintenance / Security Bugfix: | * Fehler behoben durch den einige Namen für ACME Zertifikate fälschlicherweise als ungültig erkannt wurden | ||
:<u>Operating System:</u> | * Eine PPP-Verbindung wurde immer mit IPv6 gestartet | ||
* | * Bei Clientless VPN Verbindungen wurde bei Textübertragungen das letzte Zeichen entfernt | ||
* | * Netzwerkobjekte mit IPv6 Adressen konnten nicht für Captive Portal verwendet werden | ||
</p> | |||
|; Features: | |||
:<u>SSL-VPN:</u> | |||
* Option "12 hours" was added to [{{#var:host}}UTM/VPN/SSL_VPN-Roadwarrior#Renegotiation renegotiate options for ssl-vpn roadwarrior-connections] | |||
* Option to only allow explicitly assigned certificates for connections was added to [{{#var:host}}UTM/VPN/SSL_VPN-S2S ssl-vpn site to site configurations] | |||
:<u>WireGuard:</u> | |||
* WireGuard wizard now has an option to [{{#var:host}}UTM/VPN/WireGuard-Peer configure a connection using AD-peers] | |||
:<u>Mailfilter:</u> | |||
* [{{#var:host}}UTM/APP/Mailfilter#Regel_hinzufügen New category "investigate" added to mailfilter], based on the new spamfilter | |||
* [{{#var:host}}UTM/APP/Webfilter-CF_Kategorien Threat intelligence filter] is now also active for UTM vpn edition | |||
:<u>Alerting Center:</u> | |||
* The alerting center report now lists soon to expire certificates | |||
* It is now possible to [{{#var:host}}UTM/AlertingCenter#Umgehender_E-Mail_Bericht add an alternative report receiver] to the alerting center | |||
:<u>OTP:</u> | |||
* OTP is now configurable with [{{#var:host}}UTM/AUTH/OTP#Benutzer_mit_OTP_einrichten SHA1, SHA256 and SHA512] | |||
:<u>Cluster:</u> | |||
* Clusters now have the option for [{{#var:host}}UTM/NET/Cluster-Updateverfahren newly downloaded firmware updates to be automatically provisioned to the joined utm]. You can also transfer already activated updates to the joined utm via button | |||
<p> | |||
; Bugfixes: | |||
* Error fixed that lead to empty mailgroups on an AD to not be correctly recognized | |||
* The option "allow dns requests only for routed or vpn networks" was only active after restarting the service manually | |||
* Renaming users could lead to errors | |||
* Some names for ACME certificates were mistakenly flagged as invalid | |||
* PPP-connections were always started with ipv6 | |||
* Text transfers from clientless vpn connections always got their last letter deleted | |||
* Network objects with ipv6 addresses could not be used for captive portal | |||
</p> }} | |||
{{var | Build 12.4.1--Hinweis | |||
| '''Achtung: Durch Aktualisierung der Mail-Security-Komponente, ist es unter Umständen nötig sicherzustellen, das die Securepoint UTM mit dem TCP Port 55555 in das Internet kommunizieren kann.''' | |||
| '''Attention: An update to a mail-security-component may make it necessary for the Securepoint UTM to connect to the internet via port 55555''' }} | |||
{{var | 1=Build 12.4.0--desc | |||
| 2=<p> | |||
;Maintenance / Security Bugfix: | |||
:<u>Operating System:</u> | |||
* Aktualisierung des Betriebssystems und aller Komponenten | |||
* Neue Virusscan Engine wurde hinzugefügt | |||
</p> | </p> | ||
<p> | <p> | ||
;Features: | ;Features: | ||
:<u>Operating System:</u> | :<u>Operating System:</u> | ||
* Kernel | * Kernel wurde auf Version 5.15.x aktualisiert | ||
* In | * In der Benutzeroberfläche lassen sich [[UTM/EXTRAS/Firmware_Update | neue Firmware Updates nun manuell herunterladen]] | ||
:<u>WireGuard:</u> | :<u>WireGuard:</u> | ||
* | * Anpassungen und Verbesserungen der Benutzeroberfläche | ||
* [ | * [[UTM/Widgets#WireGuard | Neues Widget für WireGuard-Verbindungen]] verfügbar | ||
* | * Unterstützung für WireGuard-Roadwarriorverbindungen mithilfe von [[UTM/AUTH/Benutzerverwaltung#WireGuard | Benutzer-]]/[[UTM/AUTH/Benutzerverwaltung#WireGuard_2 | Gruppenkonfiguration]] | ||
* [ | * [[UTM/AUTH/Benutzerverwaltung#WireGuard | Download für WireGuard Client-Konfigurationen]] als QR-Code sind nun für Benutzer verfügbar | ||
* WireGuard | * WireGuard-Verbindungen sind nun über [[UTM/AUTH/AD_Anbindung#Erweiterte_Einstellungen | Benutzer-Attribute eines angebundenen ADs]] konfigurierbar | ||
* | * Kompatibilität für Cluster Konfigurationen wurde verbessert | ||
:<u>GeoIP:</u> | :<u>GeoIP:</u> | ||
* [ | * [[UTM/RULE/Implizite_Regeln#GeoIP_Einstellungen | Implizite GeoIP Regeln]] lassen sich nun auch via GeoIP-Gruppen anlegen | ||
:<u>ACME:</u> | :<u>ACME:</u> | ||
* | * Auswahl zwischen [[UTM/AUTH/Zertifikate | systemweiten oder manuell konfigurierten Nameservern für die ACME-Challenges]] lassen sich nun einstellen | ||
:<u>SNMP:</u> | :<u>SNMP:</u> | ||
* SNMP | * SNMP Abfragen zu eingestellten nf_conntrack Werten als auch vorliegenden Updates sind nun möglich | ||
* | * Aktualisierte MIBs stehen zum Download als V3 im RSP bereit | ||
:<u>Alerting Center:</u> | :<u>Alerting Center:</u> | ||
* [ | * [[UTM/AlertingCenter | Neue Alert Meldungen]] für GeoIP und nf_conntrack | ||
* | * Ein vordefinierter [[UTM/AlertingCenter#HTTP_Request | HTTP Request]] lässt sich beim Alerting Center einstellen | ||
* | * Ein [[UTM/AlertingCenter#Umgehender_E-Mail_Bericht | alternativer Empfänger]] kann den Berichten hinterlegt werden | ||
:<u> | :<u>Erstinstallation:</u> | ||
* | * Im [[UTM/CONFIG/Installationsassistent#Schritt_3_-_Intern | Installationsassistenten Schritt 3]] lässt sich eine WLAN Bridge und STP aktivieren | ||
* In [ | * In [[UTM/CONFIG/Installationsassistent#Schritt_7_-_Zertifikat | Schritt 7]] lassen sich CA und Server Zertifikate direkt über den Wizard generieren | ||
:<u>Portfilter:</u> | :<u>Portfilter:</u> | ||
* [ | * [[UTM/RULE/Portfilter#Portfilterregel | Portfilter Regeln]] lassen sich in der Benutzeroberfläche nun einzeln kopieren | ||
* | * Für Netzwerkobjekte wird die Anzahl der verfügbaren Seiten angezeigt | ||
* | * Neu angelegte Netzwerkobjekte werden vor den GeoIP Netzwerkobjekten angefügt | ||
* [ | * [[UTM/RULE/Portfilter#Netzwerkobjekte | Netzwerkobjektgruppen und Dienste]] werden nun als Labels in der Benutzeroberfläche dargestellt | ||
* | * Nach Ablauf eines Support-Benutzers aktualisieren sich die dazugehörigen Portfilter-Regeln automatisch | ||
:<u> | :<u>Administrations-Webinterface:</u> | ||
* [ | * Bei [[UTM/CONFIG/Cloudbackup | Cloudbackups]] wird nun angezeigt, mit welcher UTM Firmware Version diese erstellt wurden | ||
* | * Beim [[UTM/Widgets#DHCP | DHCP Widget]] werden nun Leases und Netzwerkobjekte angezeigt | ||
* | * Das [[UTM/Widgets#Appliance | Appliance Widget]] wurde verbessert | ||
</p> | </p> | ||
<p> | <p> | ||
;Bugfixes: | ;Bugfixes: | ||
:<u> | :<u>Administrations-Webinterface:</u> | ||
* | * Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: GeoIP, IPSec, Netzwerkobjekte, Mailfilter, SSL-VPN, Benutzerdialog, WireGuard, Webfilter | ||
:<u> | :<u>Sonstiges:</u> | ||
* | * Fehler behoben, bei welchem der OpenVPN Dienst eine fehlerhafte Session in der Benutzeroberfläche nicht beendet hat | ||
* Mailfilter | * Mailfilter Regeln wurden bei der Funktion "Aktuelle Konfiguration drucken" nicht angezeigt | ||
* | * Fehler behoben, durch welchen viele Syslog Meldungen nach dem Herunterladen einer Firmware angezeigt wurden | ||
* | * Unter Umständen war das DHCP Relay mit mehr als 8 VLAN Interfaces nicht mehr Funktionsfähig | ||
* In | * In einer Cluster Konfiguration wird nun der DHCP Dienst auf der Spare nicht gestartet wenn er auf deaktiviert steht | ||
</p> | </p> | ||
| 3=<p> | |||
;Maintenance / Security Bugfix: | |||
:<u>Operating System:</u> | |||
* | * Updating the operating system and all components | ||
* | * New virus scan engine was added | ||
* | </p> | ||
<p> | |||
* | ;Features: | ||
* | :<u>Operating System:</u> | ||
* | * Kernel updated to version 5.15.x | ||
* In the user interface, [{{#var:host}}UTM/EXTRAS/Firmware_Update new firmware updates can now be downloaded manually] | |||
:<u>WireGuard:</u> | |||
* | * Adjustments and improvements to the user interface | ||
* [{{#var:host}}UTM/Widgets#WireGuard New widget for WireGuard connections] available | |||
* | * Support for WireGuard roadwarrior connections using [{{#var:host}}UTM/AUTH/Benutzerverwaltung#WireGuard User-]/[{{#var:host}}UTM/AUTH/Benutzerverwaltung#WireGuard_2 group configuration] | ||
* | * [{{#var:host}}UTM/AUTH/Benutzerverwaltung#WireGuard Download for WireGuard client configurations] as QR code are now available for users | ||
* | * WireGuard connections are now configurable via [{{#var:host}}UTM/AUTH/AD_Anbindung#Extended_settings user attributes of a connected AD] | ||
* | * Compatibility for cluster configurations has been improved | ||
:<u>GeoIP:</u> | |||
* [{{#var:host}}UTM/RULE/Implizite_Regeln&uselang=en#GeoIP_settings Implied GeoIP rules] can now also be created via GeoIP groups | |||
:<u>ACME:</u> | |||
* Selection between [{{#var:host}}UTM/AUTH/Zertifikate system-wide or manually configured name servers for the ACME challenges] can now be configured | |||
:<u>SNMP:</u> | |||
* SNMP queries to set nf_conntrack values as well as available updates are now possible | |||
* | * Updated MIB Files downloadable as V3 via RSP | ||
* | :<u>Alerting Center:</u> | ||
* [{{#var:host}}UTM/AlertingCenter New alert messages] for GeoIP and nf_conntrack | |||
* A predefined [{{#var:host}}UTM/AlertingCenter#HTTP_Request HTTP Request] can be set in the Alerting Center | |||
* An [{{#var:host}}UTM/AlertingCenter#Immediate_email_report alternative recipient] can be added to the reports | |||
:<u> Initial installation:</u> | |||
* | * In the [{{#var:host}}UTM/CONFIG/Installationsassistent#Step_3_-_Internal installation wizard step 3] a WLAN bridge and STP can be activated | ||
* In [{{#var:host}}UTM/CONFIG/Installationsassistent#Step_7_-_Certificate Step 7] CA and server certificates can be generated directly via the wizard | |||
* | :<u>Portfilter:</u> | ||
* | * [{{#var:host}}UTM/RULE/Portfilter# Portfilter_rule Portfilter rules] can now be copied individually in the user interface | ||
* For network objects the number of available pages is displayed | |||
* Newly created network objects are added before the GeoIP network objects | |||
* [{{#var:host}}UTM/RULE/Portfilter#Network_objects Network object groups and services] are now displayed as labels in the user interface | |||
* After a support user expires, the associated portfilter rules update automatically | |||
:<u>User-Interface:</u> | |||
* [{{#var:host}}UTM/CONFIG/Cloudbackup Cloudbackups] now display with which UTM firmware version they were created | |||
* The [{{#var:host}}UTM/Widgets#DHCP DHCP Widget] now shows leases and network objects | |||
* The [{{#var:host}}UTM/Widgets#Appliance Appliance Widget] has been improved | |||
</p> | |||
<p> | |||
;Bugfixes: | |||
:<u>User-Interface:</u> | |||
* Fixed visual errors and user interface hints in some dialogs: GeoIP, IPSec, Network Objects, Mailfilter, SSL-VPN, User Dialog, WireGuard, Webfilter | |||
:<u> Other:</u> | |||
* Fixed a bug where the OpenVPN service did not terminate an erroneous session in the user interface | |||
* Mailfilter rules were not displayed in the "Print current configuration" function | |||
* Fixed a bug that caused many syslog messages to be displayed after downloading firmware | |||
* Under certain circumstances, the DHCP relay with more than 8 VLAN interfaces was no longer functional | |||
* In a cluster configuration the DHCP service on the spare is not started if it is set to disabled | |||
</p> }} | |||
{{var | Build 12.3. | {{var | Build 12.3.6--desc | ||
|* Maintenance: | |* Security Bugfix: Aktualisierung von OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0286 CVE-2023-0286], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4203 CVE-2022-4203], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0216 CVE-2023-0216], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0217 CVE-2023-0217], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0401 CVE-2023-0401]) | ||
* Bugfix: | * Maintenance: Unterstützung für OpenVPN mit Legacy-Cipher wurde ermöglicht | ||
* Bugfix: | * Feature: Beim [[UTM/APP/Reverse_Proxy#Schritt_1_-_Intern | Reverse-Proxy]] lassen sich nun gezielt TLS Versionen einstellen | ||
|* Maintenance: | * Bugfix: Fehler behoben, welcher dafür sorgte das zu viele USR Meldungen in das Audit-Log geschrieben wurden | ||
* | * Bugfix: Ein Import von Passwort geschützten Zertifikaten war über die Benutzeroberfläche nicht möglich | ||
* Bugfix: Error fixed that | * Bugfix: Eine Fehlkonfiguration beim DHCP Relay sorgte für eine Fehlfunktion des spnetd Dienstes | ||
* Bugfix: Für IPSec ließ sich eine Verbindung mit einem ecp512bp Cipher nicht in der Benutzeroberfläche einstellen | |||
* Bugfix: Updates für die [[UTM/GeoIP#Datenbank-Update_per_CLI | Geo-IP]] Datenbank werden nun korrekt ausgeführt | |||
|* Security Bugfix: Update of OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0286 CVE-2023-0286], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4203 CVE-2022-4203], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0216 CVE-2023-0216], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0217 CVE-2023-0217], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0401 CVE-2023-0401]) | |||
* Maintenance: Legacy-Ciphers can now be activated for OpenVPN | |||
* Feature: Specific TLS versions can now be selected for the [{{#var:host}}[UTM/APP/Reverse_Proxy##Step_1_-_Internal reverse proxy | |||
* Bugfix: Error fixed that lead to too many usr messages being written to the audit-log | |||
* Bugfix: Password protected certificates could not be imported via the user interface | |||
* Bugfix: A misconfigured dhcp relay would lead to incorrect behavior of the spnetd service | |||
* Bugfix: Ecp512bp cipher could not be seleted for an ipsec connection through the user interface | |||
* Bugfix: Updates for the [{{#var:host}}UTM/GeoIP#Database_update_via_CLI Geo-IP] database are now executed properly}} | |||
{{var | Build 12.3.2--desc | {{var | Build 12.3.5--desc | ||
|* Bugfix: Fehler behoben durch den IPSec L2TP Verbindungen nach einem Update auf 12.3.1 nicht mehr funktionierten | |||
* Bugfix: Der spDYN mit eingeschaltetem Webresolver funktionierte nicht auf Internen- und Bridge-Netzwerkschnittstellen | |||
* Bugfix: Die Webserver Option HTTP2 lies sich nicht aktivieren | |||
|* Bugfix: Error fixed that prevented IPSec L2TP connections from working correctly after an update to 12.3.1 | |||
* Bugfix: spDYN with activated webresolver would not work on internal and bridge interfaces | |||
* Bugfix: Webserver option HTTP2 could not be activated }} | |||
{{var | Build 12.3.4--desc | |||
|* Maintenance: Aktualisierung und Verbesserung des Mailrelay für Verbindungen mit IPv6 Clients | |||
* Maintenance: Verbesserung des Verbindungsaufbaus zum USC/USR | |||
* Bugfix: Fehler behoben durch den das OTP Eingabefeld der Login-Maske nicht ausfüllbar war | |||
|* Maintenance: Update and improvements to mailrelay for ipv6 clients | |||
* Maintenance: Improved the connection to USC/USR | |||
* Bugfix: Error fixed that caused the otp input field when logging in to not be accessible }} | |||
{{var | Build 12.3.3--desc | |||
|* Maintenance: Aktualisierung der Virusscan Engine | |||
* Bugfix: Importierung von pkcs12 Zertifikaten war fehlerhaft | |||
* Bugfix: Fehler behoben durch den der NTP-Service nicht die Systemzeit automatisch synchronisiert hat | |||
|* Maintenance: Virusscan engine updated | |||
* Bugfix: Import of pkcs12 certificates did not work | |||
* Bugfix: Error fixed that caused the NTP-Service to not synchronize the system-time automatically }} | |||
{{var | Build 12.3.2--desc | |||
|* Bugfix: Problem behoben durch das die Verwendung von Clientless-VPN gestört wurde | |* Bugfix: Problem behoben durch das die Verwendung von Clientless-VPN gestört wurde | ||
* Bugfix: Die Synchronisierung per NTP-Zeitserver war fehlerhaft | * Bugfix: Die Synchronisierung per NTP-Zeitserver war fehlerhaft | ||
Zeile 1.392: | Zeile 1.731: | ||
* Change of the operating system to 64Bit | * Change of the operating system to 64Bit | ||
* Appliance image updates for the new UTM G5 | * Appliance image updates for the new UTM G5 | ||
* The automatic generation of passwords for the support user has been improved | * The automatic generation of passwords for the support user has been improved | ||
* ClamAV virus scanning engine has been updated | * ClamAV virus scanning engine has been updated | ||
* VPN Client has been updated | * VPN Client has been updated | ||
* Processing of the mail archive for specific use cases accelerated | * Processing of the mail archive for specific use cases accelerated | ||
* Stability on the UTM cluster increased in combination with SNMP requests | * Stability on the UTM cluster increased in combination with SNMP requests | ||
* Updated selection of available encryption algorithms for IPSec }} | * Updated selection of available encryption algorithms for IPSec }} | ||
{{var | Betroffene Komponente | |||
| Betroffene Komponente | |||
| Affected components }} | |||
{{var | Netzwerk – DHCP Client | |||
| Network - DHCP Client | |||
| Network - DHCP Client }} | |||
{{var | Netzwerk – DHCP Client--desc | |||
| Bezieht die UTM eine IPv4-Adresse per DHCP und es ist eine Relay Agent-IP-Adresse (giaddr) gesetzt, wird die IP-Adresse von der UTM nicht verwendet. | |||
| If the UTM obtains an IPv4 address via DHCP and a relay agent IP address (giaddr) is set, the IP address is not used by the UTM. }} | |||
{{var | Netzwerk – DHCP Client--workaround | |||
| Es ist kein Workaround verfügbar. Der Fehler wird in der Version 12.6.0.1 korrigiert. | |||
| There is no workaround available. The error will be corrected in version 12.6.0.1. }} | |||
{{var | SSLVPN – Servernetzwerke | |||
| SSLVPN – Servernetzwerke | |||
| SSLVPN - Server networks }} | |||
{{var | SSLVPN – Servernetzwerke--desc | |||
| Die freigegebenen Servernetzwerke werden im Dialog SSL-VPN bearbeiten nicht angezeigt und könnten bei einem Speichervorgang überschrieben werden. | |||
|The shared server networks are not displayed in the Edit SSL VPN dialog and could be overwritten during a save operation. }} | |||
{{var | SSLVPN – Servernetzwerke--workaround | |||
| Die SSLVPN-Instanz kann per CLI editiert werden. ({{code|openvpn set id…}}) | |||
| The SSLVPN instance can be edited via CLI. ({{code|openvpn set id…}}) }} | |||
{{var | Update auf 12.1.1--Hinweis | |||
| Ein Update auf die Version 12.''x'' wird erst ab der Version '''11.8.14''' angeboten | |||
| An update to version 12.''x'' is only offered from version '''11.8.14''' onwards }} | |||
{{var | v12--Beta | |||
| Diese Version ist ausschließlich zum Testen für Reseller vorgesehen. <br>Diese Version ist '''nicht zum Einsatz in Produktivumgebungen''' vorgesehen | |||
| This version is intended for testing by resellers only. <br> This version is '''not intended for use in production environments'''}} | |||
{{var | Geplanter Rollout Zeitraum | |||
| Geplanter Rollout Zeitraum: | |||
| Planned rollout period: }} | |||
{{var | Rollout Zeitraum | |||
| Rollout Zeitraum: | |||
| Rollout period: }} | |||
{{var | Tage | |||
| Tage | |||
| days }} | |||
{{var | Tag | |||
| Tag | |||
| day }} | |||
{{var | Übersprungen | |||
| Übersprungen | |||
| skipped }} | |||
{{var | Nur für NFR | |||
| Nur für Geräte mit NFR-Lizenz | |||
| Only für devices with nfr license }} | |||
{{var | Zukünftig kein Hinweis auf Mail-Security-Komponente | |||
| Dieser Hinweis gilt auch für alle späteren Versionen, wird zukünftig aber nicht mehr extra angezeigt. | |||
| This note also applies to all later versions, but will no longer be displayed separately in future. }} | |||
{{var | | {{var | gestoppt | ||
| | | gestoppt | ||
| | | stopped }} | ||
{{var | | {{var | | ||
| | | |
UTM/Changelog.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki