KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 12: | Zeile 12: | ||
| Firmware Updates, UTM Upgrade, UTM Update, Software Aktualisierung | | Firmware Updates, UTM Upgrade, UTM Update, Software Aktualisierung | ||
| Firmware updates, UTM upgrade, UTM update, software update }} | | Firmware updates, UTM upgrade, UTM update, software update }} | ||
<!-- {{var | Keine Info zu Security-Bugfix |…}} | {{var | 1=Keine Info zu Security-Bugfix | ||
{{var | beta--desc… }} | | 2=<ul><li class="list--element__bullet">Zum Zeitpunkt der Veröffentlichung dieses Updates geben wir keine weiteren Informationen zu dieser Sicherheitslücke bekannt.</li><li class="list--element__bullet">Wir geben unseren Kunden die Möglichkeit, ihre Systeme abzusichern, bevor Details einen möglichen Angriffsweg verraten könnten.</li><li class="list--element__bullet">Zu einem späteren Zeitpunkt werden dann weitere Informationen dazu veröffentlicht.</li></ul> | ||
{{var | v12--Beta2|…}} wird am Ende des Dokumentes definiert! --> | | 3=<ul><li class="list--element__bullet">At the time of publishing this update, we are not releasing any further information about this vulnerability.</li><li class="list--element__bullet">We are giving our customers the opportunity to secure their systems before details could reveal a possible avenue of attack</li><li class="list--element__bullet">Further information will be released at a later date.</li></ul> }} | ||
{{var | beta--desc | |||
{{var | Build 12.7.1.3--desc | | Unsere Softwareversionen mit der Zusatzbezeichnung ''Reseller Preview'' werden ausschließlich an NFR-Lizenzen (Not for Resale) verteilt.<br> Diese Reseller Previews sind Beta-Versionen unserer Software. Das Hauptziel dieser Versionen ist es, wertvolles Feedback von unseren Partnern zu erhalten. Dieses Feedback fließt in die finale Version unserer Software ein, bevor diese an die Endkunden ausgeliefert wird. <br>'''Wir bedanken uns bei allen Partnern für ihre Unterstützung und ihre Beiträge zur Optimierung unserer Software.''' | ||
| * '''Bugfix:''' Unter Umständen wurden im Mailfilter URLs nicht korrekt verarbeitet, was dazu führte, dass E-Mails falsch behandelt wurden | | Our software versions with the additional designation ''Reseller Preview'' are distributed exclusively to NFR licences (Not for Resale).<br>These Reseller Previews are beta versions of our software. The main intention of these versions is to receive valuable feedback from our partners. This feedback is incorporated into the final version of our software before it is delivered to end customers. <br>'''We would like to thank all our partners for their support and their contributions to the optimisation of our software.''' }} | ||
| * '''Bugfix:''' The mailfilter would not correctly process urls under certain circumstances, which caused emails to be handled wrongfully }} | <!-- {{var | Keine Info zu Security-Bugfix |…}} | ||
{{var | 1=Build 12.7.1.2--desc | {{var | beta--desc… }} | ||
| 2= | {{var | v12--Beta2|…}} wird am Ende des Dokumentes definiert! --> | ||
;Operating System | |||
* '''Security Bugfix:''' Behebung einer kritischen Sicherheitslücke durch Aktualisierung des SSH Dienstes auf Version 9.8p1 [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6387 (CVE-2024-6387)] | {{{var | 1=Build 12.7.2--desc | ||
| 3= | | 2= | ||
;Operating System | ;Maintenance / Security / Operating System: | ||
* '''Security Bugfix:''' Elimination of a critical security vulnerability by updating the SSH service to version 9.8p1 [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6387 (CVE-2024-6387)] }} | * Aktualisierung von OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4741 CVE-2024-4741], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4603 CVE-2024-4603], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-2511 CVE-2024-2511]) | ||
{{var | bzw. | * Fehler bei der Verarbeitung von IPv6 Adressen behoben ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-41993 CVE-2024-41993]) | ||
| bzw. | * VPN Client wurde auf 2.0.42 aktualisiert | ||
| or }} | |||
{{var | Wie in v12.7.1 | ;Features | ||
| Wie in v12.7.1 | * Bei Neuinstallationen ist die nginx Engine für den Reverse Proxy als Standard konfiguriert | ||
| }} | * Zur Windows-Domain Dienstgruppe wurden weitere Portfreigaben hinzugefügt | ||
{{var | 1=Build 12.7.1.1--desc | * Neue Dienstgruppe für Securepoint Unified Backup Ports hinzugefügt | ||
| 2= | * Beim HTTP Proxy lassen sich Ikarus Viruscan Pattern Cachen | ||
;Maintenance | * Beschreibung zur Erkennung und Kennzeichnung potentiell gefälschter Links in E-Mails wurde im Administrations-Webinterface überarbeitet | ||
* Für den Paketfilter wurden weitere IPv6 ICMP Typen hinzugefügt | |||
;Bugfixes | |||
* Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen verbessert: Mailfilter, Logging, Wireguard und Zertifikate | |||
* Anlegen neuer Benutzer mit mehreren Gruppen funktionierte nicht | |||
* Für das Mailrelay sind ausgehende IP-Adressen, welche einer BOND-Schnittstelle zugewiesen sind, erlaubt | |||
* Fehler behoben, bei welchem der NGinx Engine Reverse Proxy bei gleichzeitiger Aktivierung von NTLM und Websocket nicht startet | |||
* Validierung für falsche req_header ACL Einträge beim NGinx Engine Reverse Proxy verbessert | |||
* Bei Wireguard wurde eine AllowedIP Freigabe 0.0.0.0/0 nicht richtig verarbeitet | |||
* Für Azure/Entra ID schlug eine Authentifzierung fehl wenn Passwörter mit Plus-Zeichen verwendet wurden | |||
* Eine Websession konnte mit bereits abgelaufenen Benutzern gestartet werden | |||
* Ein über USC Profile konfiguriertes Cloudbackup wurde erst nach einem Neustart gesetzt | |||
* Fehler für den ACME LetsEncrypt Dienst behoben, bei welchen es Probleme mit Großbuchstaben beim Subject Alternative Name gab | |||
| 3= | |||
;Maintenance / Security / Operating System: | |||
* Update of OpenSSL ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4741 CVE-2024-4741], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4603 CVE-2024-4603], [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-2511 CVE-2024-2511]) | |||
* Fixed a bug in the processing of IPv6 addresses ([https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-41993 CVE-2024-41993]) | |||
* VPN client has been updated to 2.0.42 | |||
;Features: | |||
* For new installations, nginx engine for the reverse proxy is configured by default | |||
* Additional port shares have been added to the Windows domain service group | |||
* New service group for Securepoint Unified Backup ports added | |||
* Ikarus Viruscan patterns can be cached with the HTTP proxy | |||
* Description for detecting and labelling potentially forged links in emails has been revised in the administration web interface | |||
* Additional IPv6 ICMP types have been added for the packet filter | |||
;Bugfixes: | |||
* Improved visual errors and user interface hints in some dialogues: mail filter, logging, wireguard and certificates | |||
* Creating new users with multiple groups did not work | |||
* Outgoing IP addresses assigned to a BOND interface are allowed for the mail relay | |||
* Fixed bug where the NGinx Engine Reverse Proxy does not start when NTLM and websocket are activated at the same time | |||
* Improved validation for incorrect req_header ACL entries in the NGinx Engine Reverse Proxy | |||
* With Wireguard an AllowedIP release 0.0.0.0/0 was not processed correctly | |||
* For Azure/Entra ID, authentication failed when passwords with plus signs were used | |||
* A web session could be started with already expired users | |||
* A cloud backup configured via USC profiles was only set after a restart | |||
* Fixed a bug for the ACME LetsEncrypt service where there were problems with capital letters in the subject alternative name | |||
* Revert - Improvement of the new function "Use DNS server from provider" for multipath routing is not included in the public release for the time being }} | |||
{{var | 12.7.2 NTLM | |||
| NTLM-Authentifizierung im Reverse Proxy mit nginx | |||
| NTLM authentication in the reverse proxy with nginx }} | |||
{{var | 12.7.2 NTLM--desc | |||
| Vereinzelt kann die NTLM-Authentifizierung unter ''nginx'' im Reverse Proxy fehlschlagen | |||
| NTLM authentication may occasionally fail under ''nginx'' in the reverse proxy }} | |||
{{var | 1=Build 12.7-Preview--desc | |||
| 2= | |||
:Zusätzlich sind alle Änderungen aus den ''Reseller Preview-Versionen'' enthalten: | |||
* '''Ausnahme:''' <br>Revert - Verbesserung der neuen Funktion "DNS Server vom Provider nutzen" bei Multipathrouting wird vorerst nicht in das Public Release übernommen | |||
;Operating System | |||
* Security Bugfix: Behebung einer kritischen Sicherheitslücke durch Aktualisierung des SSH Dienstes auf Version 9.8p1 [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6387 (CVE-2024-6387)] | |||
* Security Bugfix: Aktualisierung des Kernels [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1086 (CVE-2024-1086)] | |||
* Security Bugfix: Fehler behoben, durch den unter Umständen OTP Codes nicht korrekt validiert wurden [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-39340 (CVE-2024-39340)]{{info|{{#var:Keine Info zu Security-Bugfix}} }} | |||
;Maintenance | |||
* Aktualisierung der Virenscanner Engine | |||
* Aktualisierung des Mailscanners | |||
* Aktualisierung des Betriebssystems und aller Komponenten | |||
* Aktualisierung der DHCP Komponenten | |||
;Features | |||
:Neue Features: | |||
* Erkennung und Kennzeichnung potentiell gefälschter [[UTM/APP/Mailfilter#Fake-URL|Links in E-Mails]] wurde überarbeitet | |||
* Dryrun führt nun bei Datenbankkonvertierungsfehlern einen automatischen Rollback durch | |||
* [[UTM/APP/Reverse_Proxy|Reverse Proxy]] mit nginx unterstützt nun NTLM | |||
* Per CLI ist ein Wechsel zur Regelwerk-Engine: ''nftables'' möglich. | |||
* Beim [[UTM/APP/Reverse_Proxy|Reverse Proxy]] lässt sich eine neue NGinx Engine konfigurieren | |||
* Das Logging lässt sich direkt in der tabellarischen Ansicht des [[UTM/RULE/Paketfilter|Paketfilters]] konfigurieren | |||
* Statische DHCP Leases werden [[UTM/RULE/Netzwerktopologie|nach Pools gruppiert]] | |||
* Eine farbliche Hervorhebung lässt sich beim [[UTM/Log|Log]] einstellen | |||
* Das [[UTM/EXTRAS/CLI|CLI-Terminal]] ist im Administrations-Webinterface andockbar und in der Größe veränderbar | |||
* [[UTM/RULE/Implizite_Regeln|Implizite Regeln]] sind über eine kachelbasierte Ansicht einstellbar | |||
:Administrations-Webinterface: | |||
* Wireguard Verbindungen können nun auch gezielt für [[UTM/VPN/WireGuard-S2E#Schritt_3_-_Peer_Lokaler_Benutzer|lokal konfigurierte Benutzer]] angelegt werden | |||
* Validierung von Schlüsseln, die zu [[UTM/VPN/WireGuard-S2E|Wireguard-Verbindungen]] hinzugefügt werden, wurde verbessert | |||
* Die Menüpunkte [[UTM/EXTRAS/Erweiterte_Einstellungen|''Erweiterte Einstellungen'']] und [[UTM/EXTRAS/Templates | ''Templates'']] sind nun direkt verfügbar | |||
* DHCP Relay wurde um einen Debug-Modus erweitert | |||
* Darstellung der [[UTM/Widgets#Appliance|Appliance im Widget]] wurde für größere Geräte überarbeitet | |||
* Lokale [[UTM/CONFIG/Konfigurationsverwaltung|Konfigurationen]] lassen sich kopieren | |||
* Beim Anlegen von Netzwerkobjekten werden Zonen automatisch nach Routen ausgefüllt | |||
* Beim [[UTM/APP/Webfilter|Webfilter]] lassen sich auch Regeln kopieren | |||
* Hinzufügen Dialog für IPv6 Routen wurde optimiert | |||
* Optimierung der "DNS Server vom Provider nutzen" Funktion bei [[UTM/NET/Mutlipathrouting|Multipathrouting]] | |||
* Neue Warnung beim Ausloggen und Schließen des Browsertabs wird angezeigt, falls noch ungespeicherte Änderungen vorliegen | |||
* Netzwerkobjekte und Leases sind in der [[UTM/RULE/Netzwerktopologie|Netzwerktopologie]] löschbar | |||
* Warnung beim Aktivieren des [[UTM/NET/Cluster-Management|Cluster Wartungsmodus]] über eine Websession wird ausgegeben | |||
:WireGuard: | |||
* Interfaces in der Zone "internal" oder "firewall-internal" als Allowed IPs werden nun markiert | |||
* Warnung beim Löschen von aktuell verwendeten WireGuard Keys wird angezeigt | |||
:Mailfilter: | |||
* [[UTM/UI/E-Mail_Verwaltung#Tags|Tag-System]] wurde angepasst ({{alert}} Achtung: Es kann vereinzelt vorkommen dass bestehende Tags nicht mehr korrekt greifen. Nach dem erneuten Hinzufügen einer entsprechenden E-Mail zu einem Tag, funktioniert der Filter wieder korrekt.) | |||
* Allen E-Mails wird ihr Hash Wert in das [[UTM/APP/Mailfilter#Mail-Header|Kopf Feld]] "X-Securepoint: FHASH" eingetragen | |||
* Hash Werte werden zur Auswertung an Securepoint gesendet | |||
;Bugfixes | |||
* Unter Umständen wurden im Mailfilter URLs nicht korrekt verarbeitet, was dazu führte, dass E-Mails falsch behandelt wurden | |||
* Icon von Netzwerkobjekt mit 0.0.0.0/0 wurde falsch angezeigt | |||
* An einigen Stellen wurde die Auswahl von Zertifikaten überarbeitet, so dass nur Zertifikate mit privatem Schlüssel gewählt werden können | |||
* Fehlerhaftes Verhalten der englischen Admin-Benutzeroberfläche behoben | |||
* "WireGuard Einstellungen aus der Gruppe verwenden" im Benutzer Hinzufügen-Dialog war fehlerhaft | |||
* Wireguard Benutzer-Peers wurde nach einem Neustart der Appliance nicht korrekt geladen | |||
* Paketfilterregeln konnten innerhalb einer Regelgruppe nicht mehr verschoben werden | |||
* Speichern des IPSec Phase 2 Dialogs erzeugte eine Fehlermeldung | |||
* Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: Paketfilter, Mailfilter, Appliance Widget, Zertifikate, QoS, Netzwerkkonfiguration und Responsive Design | |||
* Limitierung für Mailtag Namen wurde eingebaut | |||
* Mailconnector Multidrop Oberfläche war nicht mehr nutzbar, wenn ein Custom Envelope Header genutzt wurde | |||
* Ein Deaktivieren von Router Advertisement löschte darüber angelegte Netze nicht | |||
* Ansprache und Datumsformat im Spam Bericht wurde geändert | |||
* Wake on LAN (WOL) verwendet nun mehrere Zielports | |||
* Prefix Delegation war unter Umständen fehlerhaft | |||
* Neue Wireguard Peers konnten mit der Option "Schlüssel direkt eingeben" nicht gespeichert werden | |||
| 3=:In addition, all changes from the ''Reseller Preview Versions'' are included: | |||
* '''Exception:'''<br>Revert - Improvement of the new function “Use DNS server from provider” for multipath routing will not be included in the public release at this time | |||
;Operating System | |||
* '''Security Bugfix:''' Elimination of a critical security vulnerability by updating the SSH service to version 9.8p1 [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6387 (CVE-2024-6387)] | |||
* Security Bugfix: Update of the kernel [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1086 (CVE-2024-1086)] | |||
* Security Bugfix: Fixed a bug where otp codes were not properly verified under certain circumstances [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-39340 (CVE-2024-39340)]{{info|{{#var:Keine Info zu Security-Bugfix}} }} | |||
;Maintenance | |||
* Update of the virus scanner engine | |||
* Update of the mail scanner | |||
* Update the operating system and all components | |||
* Updating the DHCP components | |||
:New Features: | |||
* Rule engine iptables has been replaced by [[UTM/RULE/Paketfilter|nftables]] | |||
* Recognition and labeling of [[UTM/APP/Mailfilter#Fake-URL|potentially forged links]] in emails has been revised | |||
* Dryrun now performs an automatic rollback in the event of database conversion errors | |||
* [[UTM/APP/Reverse_Proxy|Reverse proxy]] with nginx now supports NTLM | |||
* It is possible to switch to the rules engine: ‘’nftables‘’ via CLI. | |||
* A new NGinx engine can be configured for the [[UTM/APP/Reverse_Proxy|reverse proxy]] | |||
* Logging can be configured directly in the tabular view of the [[UTM/RULE/Paketfilter|packet filter]] | |||
* Static DHCP leases are grouped [[UTM/RULE/Netzwerktopologie|according to pools]] | |||
* Color highlighting can be set for the [[UTM/Log|log]] | |||
* The [[UTM/EXTRAS/CLI|CLI terminal]] can be docked and resized in the administration web interface | |||
* [[UTM/RULE/Implizite_Regeln|Implicit rules]] can be set via a tile-based view | |||
:Administration web interface: | |||
* Wireguard connections can now also be created specifically for [[UTM/VPN/WireGuard-S2E#Schritt_3_-_Peer_Lokaler_Benutzer|locally configured users]] | |||
* Validation of keys that are added to [[UTM/VPN/WireGuard-S2E|Wireguard connections]] has been improved | |||
* The menu items [[UTM/EXTRAS/Erweiterte_Einstellungen|"Advanced Settings"]] and "Templates" are now directly available | |||
* DHCP Relay has been extended by a debug mode | |||
* Appliance display in the [[UTM/Widgets#Appliance|widget]] has been revised for larger devices | |||
* Local [[UTM/CONFIG/Konfigurationsverwaltung|configurations]] can be copied | |||
* Zones are automatically filled in according to routes when creating network objects | |||
* Rules can also be copied for the [[UTM/APP/Webfilter|web filter]] | |||
* Add dialog for IPv6 routes has been optimized | |||
* Optimization of the "Use DNS server from provider" function for [[UTM/NET/Mutlipathrouting|multipath routing]] | |||
* New warning is displayed when logging out and closing the browser tab if there are still unsaved changes | |||
* Network objects and leases can be deleted in the [[UTM/RULE/Netzwerktopologie|network topology]] | |||
* Warning is issued when activating [[UTM/NET/Cluster-Management|cluster maintenance mode]] via a web session | |||
:WireGuard: | |||
* Interfaces in the "internal" or "firewall-internal" zone as Allowed IPs are now marked | |||
* Warning when deleting currently used WireGuard keys is displayed | |||
:Mailfilter: | |||
* [[UTM/UI/E-Mail_Verwaltung#Tags|Tag system]] has been adapted ({{alert}} Attention: It may happen that existing tags no longer work correctly. After re-adding a corresponding e-mail to a tag, the filter will work correctly again.) | |||
* All emails have their hash value entered in [[UTM/APP/Mailfilter#Mail-Header|the header field]] "X-Securepoint: FHASH" | |||
* Hash values are sent to Securepoint for evaluation | |||
; Bufgixes | |||
* The mailfilter would not correctly process urls under certain circumstances, which caused emails to be handled wrongfully | |||
* Icon of network object with 0.0.0.0/0 was displayed incorrectly | |||
* In some places the selection of certificates has been revised so that only certificates with private keys can be selected | |||
* Incorrect behavior of the English admin user interface fixed | |||
* "Use WireGuard settings from the group" in the user add dialog was incorrect | |||
* Wireguard user peers were not loaded correctly after a restart of the appliance | |||
* Packet filter rules could no longer be moved within a rule group | |||
* Saving the IPSec Phase 2 dialog generated an error message | |||
* Visual errors and hints of the user interface in some dialogs fixed: packet filter, mail filter, appliance widget, certificates, QoS, network configuration and responsive design | |||
* Limitation for mail tag names has been implemented | |||
* Mailconnector multidrop interface was no longer usable if a custom envelope header was used | |||
* Deactivating Router Advertisement did not delete networks created via it | |||
* Address and date format in the spam report has been changed | |||
* Wake on LAN (WOL) now uses multiple target ports | |||
* Prefix delegation was incorrect under certain circumstances | |||
* New Wireguard peers could not be saved with the "Enter key directly" option }} | |||
{{var | Build 12.7.1.3--desc | |||
| * '''Bugfix:''' Unter Umständen wurden im Mailfilter URLs nicht korrekt verarbeitet, was dazu führte, dass E-Mails falsch behandelt wurden | |||
| * '''Bugfix:''' The mailfilter would not correctly process urls under certain circumstances, which caused emails to be handled wrongfully | |||
}} | |||
{{var | Build 12.7.1.3--desc | |||
| * '''Bugfix:''' Unter Umständen wurden im Mailfilter URLs nicht korrekt verarbeitet, was dazu führte, dass E-Mails falsch behandelt wurden | |||
| * '''Bugfix:''' The mailfilter would not correctly process urls under certain circumstances, which caused emails to be handled wrongfully }} | |||
{{var | 1=Build 12.7.1.2--desc | |||
| 2= | |||
;Operating System | |||
* '''Security Bugfix:''' Behebung einer kritischen Sicherheitslücke durch Aktualisierung des SSH Dienstes auf Version 9.8p1 [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6387 (CVE-2024-6387)] | |||
| 3= | |||
;Operating System | |||
* '''Security Bugfix:''' Elimination of a critical security vulnerability by updating the SSH service to version 9.8p1 [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6387 (CVE-2024-6387)] }} | |||
{{var | bzw. | |||
| bzw. | |||
| or }} | |||
{{var | Wie in v12.7.1 | |||
| Wie in v12.7.1 | |||
| }} | |||
{{var | 1=Build 12.7.1.1--desc | |||
| 2= | |||
;Maintenance | |||
* Default Regelwerk-Engine: ''nftables'' wurde vorübergehend wieder durch ''iptables'' ersetzt.<br>Ein Wechsel per CLI ist möglich. | * Default Regelwerk-Engine: ''nftables'' wurde vorübergehend wieder durch ''iptables'' ersetzt.<br>Ein Wechsel per CLI ist möglich. | ||
| 3= }} | | 3= }} | ||
Zeile 1.811: | Zeile 2.015: | ||
| gestoppt | | gestoppt | ||
| stopped }} | | stopped }} | ||
{{var | | {{var | | ||
| | | |
UTM/Changelog.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki