Changelog Securepoint V10
Build 10.6 [8839]
Due to Intel-NIC related issues, it's not recommended to update the following appliance: RC310, RC410, Intel Modular Server - Compute Module
-Feature: Routing Daemon - Update des Routing Daemon
-Feature: Virenscanner - Update des Virenscanners
-Bugfix: RCPT-Milter - diverse Probleme mit der User-Validierung über SMTP behoben
-Bugfix: Kerberos/Cluster - Der Kerberos-Dienst ist auf der Spare-Firewall nicht mehr aktiv
-Bugfix: DHCP-Server/Cluster - Der DHCP-Server ist auf der Spare-Firewall nicht mehr aktiv
-Bugfix: DHCP-Relay/Cluster - Der DHCP-Relay ist auf der Spare-Firewall nicht mehr aktiv
-Bugfix: IPSec/Cluster - Der IPSec-Dienst ist auf der Spare-Firewall nicht mehr aktiv
-Bugfix: IPSec - Das Verwenden einiger Verschlüsselungsverfahren war nicht möglich
-Bugfix: Uhrzeit/NTP - Probleme mit der Zeitsynchronisation behoben
-Bugifx: DHCP-Client - Probleme beim Betrieb als DHCP-Client behoben
-Bugfix: Server - Das setzen von Kernelparametern für VLAN-Interface war nicht möglich
-Bugfix: Webinterface - Das shared Secret wurde in den Radiuseinstellungen nicht korrekt gespeichert
-Bugfix: Webinterface - Probleme bei Verwendung des IE8 im IPSec-Wizard behoben
-Bugfix: Webinterface - Die Schnittstellenauslastung wurde im IE9 nicht angezeigt
-Bugfix: Webinterface - User mit einer Ziffer im Benutzernamen wurde in der Openvpn-Verbindungsübersicht nicht angezeigt
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig da der neue Kernel nicht kompatibel zum alten Kernel ist. Beim Update von einer Version <= 8830 wird die Version 8839 angeboten. Das entspricht der neuen Darstellung 10.6. Das Online Update bei Firewalls mit 512 MB CompactFlash Karten ist möglich von Build 8784 auf 10.6. Ältere Installationen müssen ein Update über USB Stick machen. Durch das Update des IPSec Dienstes ist der SHA2 (128 - 256 Bit) Algorithmus bei IPSec nicht mehr kompatibel zu älteren Versionen. Falls der Algorithmus zu älteren Versionen verwendet wird, stellen Sie diesen bitte vor dem Update auf ein anderes Hashverfahren um.
Build 10.5.1 [8838]
-Bugfix: PoP3Proxy - Problem bei TLS-Verschlüsselung behoben.
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist.
- -Beim Update von einer Version <= 8830 wird die Version 8838 angeboten. Das entspricht der neuen Darstellung 10.5.1.
- -Das Online Update bei Firewalls mit 512 MB CompactFlash Karten ist möglich von Build 8784 auf 10.5.1. Ältere Installationen müssen ein Update über USB Stick machen.
- -Durch das Update des IPSec Dienstes ist der SHA2 (128 - 256 Bit) Algorithmus bei IPSec nicht mehr kompatibel zu älteren Versionen.
- -Falls der Algorithmus zu älteren Versionen verwendet wird, stellen Sie diesen bitte vor dem Update auf ein anderes Hashverfahren um.
Build 10.5 [8837]
-Feature: HTTP Proxy - Securepoint Contentfilter neue Kategorien.
-Feature: HTTP Proxy - Securepoint Contentfilter wildcards in Hostnamen (zum Beispiel *.securepoint.de).
-Feature: Mailrelay - Neue Need helo Funktion.
-Bugfix: Server - Konfigurationsfehler bei IPSec und VLAN Interface behoben.
-Bugfix: Server - Fehler beim Import defekter Konfiguration behoben.
-Bugfix: Server - Fehler beim Rule-Routing und Multipath-Routing behoben.
-Bugfix: Virusscan - Problem beim Einlesen von fehlerhaften Pattern Dateien behoben.
-Bugfix: PoP3Proxy - Problem bei dem Herunterladen von E-Mails mit großen Anhängen behoben.
-Bugfix: SSL VPN - Falscher Zeitstempel in den Logs behoben.
-Änderungen in Templates:
- Mailrelay: show extc_template /etc/mail/sendmail.mc
#IF ${NEED_HELO}=1 define(`confPRIVACY_FLAGS', `authwarnings,noexpn,novrfy,needmailhelo') #ELSE define(`confPRIVACY_FLAGS', `authwarnings,noexpn,novrfy') #ENDIF
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist.
- -Beim Update von einer Version <= 8830 wird die Version 8837 angeboten. Das entspricht der neuen Darstellung 10.5.
- -Das Online Update bei Firewalls mit 512 MB CompactFlash Karten ist möglich von Build 8784 auf 10.5. Ältere Installationen müssen ein Update über USB Stick machen.
- -Durch das Update des IPSec Dienstes ist der SHA2 (128 - 256 Bit) Algorithmus bei IPSec nicht mehr kompatibel zu älteren Versionen.
- -Falls der Algorithmus zu älteren Versionen verwendet wird, stellen Sie diesen bitte vor dem Update auf ein anderes Hashverfahren um.
Build 10.4 [8836]
-Bugfix: WebInterface - Problem bei nachträglicher Änderung von Spare IP Adressen behoben.
-Bugfix: IPSec - Verbesserung der Stabilität und Performance.
-Bugfix: SSL VPN - Aktualisierung des SSL VPN Client Paketes.
-Feature: HTTP Proxy - Securepoint Content-Filter mit neuen Funktionen (Black-/Whitelists).
-Feature: WebInterface - Kerberos Authentifizierung mit Backup-Active-Directory-Controller.
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist.
- -Beim Update von einer Version <= 8830 wird die Version 8836 angeboten. Das entspricht der neuen Darstellung 10.4.
- -Das Online Update bei Firewalls mit 512 MB CompactFlash Karten ist möglich von Build 8784 auf 10.4. Ältere Installationen müssen ein Update über USB Stick machen.
- -Durch das Update des IPSec Dienstes ist der SHA2 (128 - 256 Bit) Algorithmus bei IPSec nicht mehr kompatibel zu älteren Versionen.
- -Falls der Algorithmus zu älteren Versionen verwendet wird, stellen Sie diesen bitte vor dem Update auf ein anderes Hashverfahren um.
Build 10.3.2 [8835]
-Bugfix: WebInterface - Status-Darstellung bei SSL VPN Site-to-Site-Verbindungen im Cockpit behoben.
-Bugfix: WebInterface - Probleme beim IPSec Wizard mit dem Internet Explorer behoben.
-Bugfix: WebInterface - LZO Kompression im SSL VPN Client wird nun korrekt gesetzt.
-Bugfix: Server - Regelwerk des Konfigurations-Wizard wird nun korrekt erstellt.
-Bugfix: Server - Das automatisch generierte Server Zertifikat für SPUVA hat nun ein korrektes Ablaufdatum.
-Feature: PoP3Proxy - Die Verschlüsselungsfunktion des PoP3Proxy ist nun ausschaltbar.
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist.
- -Beim Update von einer Version <= 8830 wird die Version 8835 angeboten. Das entspricht der neuen Darstellung 10.3.2.
- -Das Online Update bei Firewalls mit 512 MB CompactFlash Karten ist möglich von Build 8784 auf 10.3.2. Ältere Installationen müssen ein Update über USB Stick machen. Die USB Images können von unserer Website geladen werden:
Build 10.3.1 [8834]
-Bugfix: WebInterface - Im UserInterface konnte der SSL VPN Client nicht heruntergeladen werden.
-Bugfix: WebInterface - Einige Sonderzeichen konnten im PSK bei IPSec Verbindungen nicht verwendet werden.
-Bugfix: Server - Site-to-Site SSL VPN Verbindungen, erzeugt durch die Template-Funktion, werden nicht mehr überschrieben.
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist.
- -Beim Update von einer Version <= 8830 wird die Version 8834 angeboten. Das entspricht der neuen Darstellung 10.3.1.
- -Das Online Update bei Firewalls mit 512 MB CompactFlash Karten ist möglich von Build 8784 auf 10.3.1. Ältere Installationen müssen ein Update über USB Stick machen. Die USB Images können von unserer Website geladen werden:
Build 10.3 [8833]
-Bugfix: Update Clamav.
-Bugfix: Update Squid Proxy.
-Bugfix: Update IGMP Proxy.
-Bugfix: Mailfilter Segfault behoben.
-Bugfix: Webserver Timeout hochgesetzt beim Firewall-Update.
-Bugfix: WebInterface - Portweiterleitung, Dienste wurden doppelt angezeigt.
-Bugfix: WebInterface - MTU bei PPP-Interface verändern.
-Bugfix: Cluster Interface und Portforwarding.
-Feature: Neuer PoP3 Proxy.
-Feature: Neue Shell Kommandos - free, pgrep, pkill, pmap, ps, skill, snice.
-Feature: Neue Shell Kommandos - sysctl, tload, top, uptime, vmstat, watch.
-Feature: WebInterface - Neue Zeitprofile im Regelwerk.
-Feature: WebInterface - IPSec Wizard mit einstellbaren IDs.
-Feature: Erste Beta Version des neuen Content Filters verfügbar.
-Änderungen in Templates:
- HTTP Proxy: show extc_template /etc/squid/squid.conf
- Aktivierung des neuen Content Filters:
#IF ${ENABLE_DNS_FILTER}=1 redirect_program /bin/cf_filter redirect_children ${REDIRECT_CHILDREN} #ENDIF
-HTTP Proxy: show extc_template /etc/dansguardian/dansguardian.conf
- Upload Begrenzung:
#IF ${ENABLE_SIZE_LIMIT}=1 maxuploadsize = ${MAXUPLOADSIZE} #ELSE maxuploadsize = -1 #ENDIF
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist.
- -Beim Update von einer Version <= 8830 wird die Version 8833 angeboten. Das entspricht der neuen Darstellung 10.3.
- -Das Online Update bei Firewalls mit 512 MB CompactFlash Karten ist möglich von Build 8784 auf 10.3. Ältere Installationen müssen ein Update über USB Stick machen. Die USB Images können von unserer Website geladen werden:
Build 10.2 [8832]
-Bugfix: Server: Zonen können erst gelöscht werden, wenn sie mit keinem Objekt mehr verknüpft sind.
-Bugfix: HTTP Proxy: Download Limitierung von 2 GB aufgehoben.
-Bugfix: Webserver: Probleme mit der generierten Session ID behoben.
-Bugfix: Routing Daemon: Anzeige-Probleme beim Wechsel zwischen Securepoint und Bird CLI behoben.
-Bugfix: EBSC: Problem beim Herunterfahren des Dienstes behoben.
-Feature: IPSec: Authentisierung über RSA Keys wird unterstützt.
-Feature: SSL VPN: Die eingestellte LZO Kompression des Dienstes wird automatisch in der Client Konfiguration übernommen.
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist.
- -Beim Update von einer Version <= 8830 wird die Version 8832 angeboten. Das entspricht der neuen Darstellung 10.2.
- -Das Online Update bei Firewalls mit 512 MB ist möglich von Build 8784 auf 10.2. Ältere Installationen müssen ein Update über USB Stick machen. Die USB Images können von unserer Website geladen werden:
Build 10.1 [8831]
-Bugfix: DHCP: dhcpinfo (garbage output).
-Bugfix: Ruleengine: Zeitbasierte Regeln berücksichtigen die lokale Zeitzone.
-Bugfix: Virusscan: Clamd update (0.96)
-Bugfix: SSL VPN: Openvpn update (2.1.1)
-Bugfix: Http Proxy: Basic-Authentisierung berücksichtigt Groß-/Kleinschreibung.
-Bugfix: ebsc/ctasd/clamd: Probleme beim Neustart der Dienste behoben.
-Bugfix: Securepoint server: Optimierung der Antwortzeiten des Dienstes.
-Bugfix: Spamfilter: Mail extension-/mimefilter berücksichtigt Groß-/Kleinschreibung.
-Bugfix: Kerberos: Unterstützung für Windows 2008R2 Server.
-Feature: DNS: Weiterleitung für einzelne Domains.
-Feature: HTTP Proxy: Sperren von webradio Audio-Streams.
-Feature: SSL VPN: Radius mit Einmalpasswort Authentisierung.
-Feature: Routing Daemon: Kommando run bird wechselt in die Bird CLI.
-Feature: PoP3 Proxy: Whitelist für E-Mail-Adressen und Domains.
-Feature: PoP3 Proxy: Neue Option max_scan_size.
-Feature: Monitoring agent: Neue Option b4 instance Name.
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist.
- - In dieser Version ändern sich die Build Nummern. Die Build Nummer 8831 entspricht der neuen Darstellung 10.1.
- -Das Online Update bei Firewalls mit 512 MB ist möglich von Build 8784 auf 10.1. Ältere Installationen müssen ein Update über USB Stick machen. Die USB Images können von unserer Website geladen werden:
Beachten Sie bei einem Update auf einem Intel Modular Server:
Sollten Sie die Firewall nach dem Update auf die Version 10.1 nicht mehr
ansprechen können, müssen Sie die Bootparameter anpassen.
Der Parameter irqpoll muss entfernt werden.
show bootparameter /dev/sda2;vmlinux;irqpoll vga=1 change bootparameter "/dev/sda2" "vmlinux" "vga=1" show bootparameter /dev/sda2;vmlinux;vga=1
Build 8830
-Bugfix: Mailfilter - Fehler in der Bereinigung alter E-Mails behoben.
-Bugfix: SSL VPN - 'update interface' startete das tun0 Interface nicht korrekt.
-Bugfix: Kernel - IP Weiterleitung im internen Routing behoben.
-Bugfix: Spamfilter - Neustart des CTASD wenn sich die Standard-Route ändert.
-Feature: Server - Beschleunigung der Abarbeitung der CLI Befehle.
-Feature: Server - Neues CLI Kommando 'config convert' zur Konvertierung der Datenbank in UTF-8.
-Feature: Server - CLI Kommando 'show systemstats' zeigt jetzt statt Memory free nun Memory available an.
-Feature: Server - SSL VPN - Der DH Key wird jetzt vor dem reboot gesichert.
-Feature: Port Filter - Eingabe von manuellen IPTables Regeln über das Template 'post_rules.sh'.
-Feature: WebInterface - Export/Import von CRLs im Bereich der Zertifikate.
-Feature: WebInterface - Beschleunigung der Kommunikation mit dem Internet Explorer.
-Feature: WebInterface - Manuelle Auswahl des DSN bei IPSec Verbindungen mit Zertifikaten.
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist.
- -Das Online Update bei Firewalls mit 512 MB ist möglich von Build 8784 auf 8830. Ältere Installationen müssen ein Update über USB Stick machen. Die USB Images können von unserer Website geladen werden:
Build 8784
-Bugfix: PoP3 Proxy - Segfault Fehler behoben.
-Bugfix: Webserver - Fehler im Kompressions-Modul behoben.
-Bugfix: Webserver - Fehler im WebInterface, das den Zugriff auf die Oberfläche verhindern kann, behoben.
-Bugfix: SMTP Gateway - Alte E-Mails werden aus der Mailfilter Database nun gelöscht.
-Bugfix: Port Filter - Rule-Routing Fehler behoben.
-Bugfix: HTTP Proxy - NTLM-Auth im Zusammenhang mit dem URL Filter behoben.
-Bugfix: HTTP Proxy - Erhöhung des Timeout im Contentscanner.
-Bugfix: NTP Server - Fehler in den Zeitzonen behoben.
-Feature: User Administration - Neues Feature in der User-Verwaltung: Wake on LAN.
-Knowin issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist. Dies führt im WebInterface und im Security Manger zu einem Verbindungsabbruch. Loggen Sie sich deswegen nach dem Reboot neu ein und prüfen Sie über die Update-Funktion, ob das Update vollständig ausgeführt wurde.
- -Das Online Update bei Firewalls mit 512 MB Flashspeicher (betrifft ältere Piranja Modelle) ist aufgrund der Größe des Updates nicht möglich. Anwender müssen das Update deswegen über einen USB-Stick einspielen. Die USB Images können von unserer Website geladen werden:
Build 8749
-Bugfix: Fehler in E-Mail-Validierung über LDAP behoben.
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist. Dies führt im WebInterface und im Security Manger zu einem Verbindungsabbruch. Loggen Sie sich deswegen nach dem Reboot neu ein und prüfen Sie über die Update-Funktion, ob das Update vollständig ausgeführt wurde.
- -Es wird empfohlen, das Update über das WebInterface durchzuführen.
- -Das Image ist nicht geeignet zur Installation auf Maschinen mit 512MB Flashspeicher (zum Beispiel Piranja). Ein Installations-Image für diese Flashspeicher wird im nächsten Update zur Verfügung stehen.
Build 8744
-Bugfix: Mailrelay - Security Update.
-Bugfix: Virusscan - Security Update.
-Bugfix: Nameserver - Security Update.
-Bugfix: Beschleunigte Abarbeitung des Routing-Tables.
-Bugfix: Beseitigung der Kernel Probleme mit IBM Servern.
-Bugfix: Userland - libc mit nptl Support.
-Bugfix: PPTP Server - Erhöhung der Latenz beim Aushandeln der GRE Session.
-Feature: Einsicht auf den Changelog über das WebInterface.
-Feature: IPSec - Neue Option no-rekeying.
-Feature: Integration b4-Controller Agent zur Überwachung der Firewall.
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist. Dies führt im WebInterface und im Security Manger zu einem Verbindungsabbruch. Loggen Sie sich deswegen nach dem Reboot neu ein und prüfen Sie über die Update-Funktion, ob das Update vollständig ausgeführt wurde.
Wichtig: Die User-Validierung im Mailrelay über LDAP funktioniert nicht. Wir empfehlen eine andere Art der Validierung einzuschalten oder die Funktion zu deaktivieren.
Build 8679
-Bugfix: PoP3 Proxy. Binäre Attachments die "quoted-printable" codiert wurden, wurden falsch decodiert.
Build 8676
-Bugfix: WebInterface, tunX-Schnittstellen bei Interface-Zuweisung im SSLVPN-Dialog entfernt.
-Bugfix: WebInterface, OpenVPN Client Config exportieren/Client Zertifikat mit Leerstelle im Namen gefixt.
-Bugfix: Mailfilter Korrekturen im Zusammenhang mit Exchange und Outlook.
-Bugfix: Openvpn Netz wird jetzt in allen Routing-Tables des Systems aufgeführt.
-Bugfix: Fehlende Netzwerkkartenunterstützung im Zusammenhang mit Build 8623 korrigiert (Intel 1000pro Quad AT).
-Bugfix: Contentfilter Whitelist.
-Bugfix: Korrektur Live-Log Anzeige im WebInterface.
-Feature: WebInterface, HTTP-Proxy Ausnahmen bei Quelle und Ziel können jetzt Masken angegeben werden.
-Feature: DHCP Relay über WebInterface konfigurierbar.
-Feature: Update des Linux Kernels auf Version 2.6.32.
-Known issues:
- -Beim Online-Update wird ein automatischer Reboot durchgeführt. Das ist notwendig, da der neue Kernel nicht kompatibel zum alten Kernel ist. Dies führt im WebInterface und im Security Manger zu einem Verbindungsabbruch. Loggen Sie sich deswegen nach dem Reboot neu ein und prüfen Sie über die Update-Funktion, ob das Update vollständig ausgeführt wurde.
Build 8623
-Bugfix: Kerberos lässt sich nach einem FW-Neustart nicht starten.
-Bugfix: Im Mailarchiv/Spamfilter wird als Absender-Adresse die Postmaster-E-Mail verwendet.
-Bugfix: Korrektur der Rechte im Mailarchiv.
-Bugfix: DSL Einwahl über das WebInterface editieren schlug fehl.
-Bugfix: Editieren den Templates /etc/bird.conf für den Routing Dienst war nicht möglich.
-Bugfix: Editieren den Templates /etc/mail/sendmail.mc für das Mailrelay war nicht möglich.
-Bugfix: WebInterface Lokale/Radius-Authentifizierung bei SSL VPN.
-Feature: Unter Applikationen/Nameserver können nun Forwarder für den lokalen Nameserver definiert werden.
-Feature: Beim HTTP und PoP3 Proxy können redirect Ausnahmen definiert werden (transparente Proxy Funktion).
-Feature: Dokumentations-Funktion im Konfigurations-Management.
-Feature: Verbesserte Speicherverwaltung bei den Piranja Systemen.
-Feature: Im Spamfilter-Interface ist jetzt zu sehen, ob der Bayes oder der automatische Spamfilter klassifiziert ist.
-Feature: Update des Linux Kernels auf Version 2.6.31.6.
Build 8508
-Bugfix: Serverfehler bei mehr als drei PPPoE Routen behoben.
-Bugfix: SMTP-Gateway: Eine Blacklist aus der Configuration entfernt.
-Bugfix: Webinterface: "Spamfilter -> Attachment Filter" Einstellung auf alles erlauben geändert.
-Bugfix: USB-Update: Partition wird mit mehr Inodes erstellt.
-Bugfix: USB-Update: Die Dienste "Webserver", "CTASD" und "Mailfilter" werden gestartet.
Build 8480 - First Release
- Administration über Webinterface zusätzlich möglich.
- Cockpit individuell anpassbar (Systemstatus, Traffic, Applikationen, DHCP, IPSEC, etc)
- Erweiterte System Einstellung (Template und System-Variablen)
- Neuer Wizard
- Neues Spaminterface
- -Integration Comtouch-Spamfilter (ctasd)
- -Reimplementierung des POP3-Proxys
- -Greylisting: Ausnahmen von Domain/Empfängern/Sendern konfigurierbar.
- -Advanced: Erweiterte Einstellungen für die SMTP-Kommunikation.
- -User-Validation über SMTP (Validiert den Empfänger gegenüber dem Mailserver)
- -Spamtag editierbar
- -Verhaltensregel für SPAM- und Virusmails
- -POP3: Ausnahmen für Mailboxen
- Http-Proxy
- -Outgoing-Addr konfigurierbar
- -NTLM-Authentifizierung über Kerberos möglich.
- -Anonymisiertes Logging
- -URL-Filter auch für authentifizierte Benutzer anwendbar.
- -Anwendungen blockieren (ICQ, TemaViewer, etc.)
- -Bandbreitenlimitierung
- Netzwerk
- -SNMP-Konfigurierbar
- -Mehrere DynDNS-Accounts verwaltbar.
- Firewall
- -Portforwarding direkt konfigurierbar.
- VPN
- -IKEv2 implementiert
- -Automatische Regelgenerierung
- -L2TP nur aus IPSec-Tunnel möglich (implizierte Regel)
- System
- -Einbindung Vmware-Netzwerktreiber
- -Besseres Konfigurationsmanagement