Changelog Securepoint V11
Build 11.5.1
Release Date: 24.06.2015
- Bugfix: Falsche Netzwerkmaske bei lokalem User mit statischer IP Adresse für SSL-VPN behoben.
- Bugfix: Diffie-Hellman Parameter erhöht für die Erstellung neuer SSL-VPN Verbindungen.
- Bugfix: LDAP-Filtereinstellungen bei der Active-Directory Konvertierung verbessert.
- Bugfix: Verhalten des Authentifizierung-Dienstes bei fehlerhafter Active-Directory Konfiguration verbessert.
- Bugfix: Fehler beim Paket-Filter editieren mit dem Firefox Browser behoben.
- Bugfix: Darstellungs-Fehler im Webinterface unter Portfilter/Diensten und Portfilter/Netzwerk-Objekten mit dem SOC-Client behoben.
- Bugfix: SIP-Proxy Konfigurationen wurden nicht geschrieben.
- Bugfix: Fehler bei der LDAP E-Mail-Validierung des Mail-Relay für ausgehende Nachrichten behoben.
- Bugfix: Hohe CPU-Auslastung bei Verwendung des HTTP-Proxy mit NTLM Authentifizierung behoben.
- Bugfix: Doppelte Clientless-VPN Verbindungen werden nun ausgefiltert im Userinterface wenn man mehrere Gruppen mit Clientless-VPN Verbindungen einem User zugeordnet hat.
Known Issue:
Bei einem Update von 11.4.3.6 oder älter ist zu beachten das die Authentifizierung am HTTP Proxy mittels LDAP neu konfiguriert werden muss. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.
Prüfen Sie nach dem Update von Version 11.4.3.6 oder älter insbesondere folgende Funktionalität:
- Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen.
- Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an.
Das Anlegen neuer SSL-VPN Verbindungen dauert nun etwas länger aufgrund der höheren Diffie-Hellman Parameter.
Build 11.5
Release Date: 08.06.2015
- Security Bugfix: SSLv2 und SSLv3 im Reverse-Proxy und Webserver deaktiviert und angebotene Cipher-Liste aktualisiert.
- Security Bugfix: OpenSSL aktualisiert (CVE-2015-0286, CVE-2015-0287, CVE-2015-0289, CVE-2015-0293, CVE-2015-0209, CVE-2015-0288).
- Security Bugfix: NetSNMP aktualisiert (CVE-2014-2284).
- Bugfix: DHCP Client unterstützt nun auch Gateways die sich nicht im gleichen Subnetz befinden.
- Bugfix: Verbesserung der Ladezeiten des Portfilters.
- Bugfix: Webfilter Regelsätze mit mehr als 20 Objekten funktionieren nun.
- Bugfix: Manager IPv6 Adressen für die Administration wurden nicht aktiviert.
- Bugfix: Aktualisierungsproblem bei Zwangstrennung mit IPv6 Tunnelbrokern behoben.
- Bugfix: Problem in IPv6 DHCP-Server bei Vergabe von statischen IP Adressen behoben.
- Bugfix: Ablaufende Sessions bei Clientless-VPN behoben.
- Bugfix: Fehler in der Farbdarstellung bei Clientless-VPN behoben.
- Bugfix: Fehlender Krypto-Algorithmus Serpent für IPSec Quick-Mode implementiert.
- Bugfix: Im SMTP-Gateway wurden die Ausnahmen für Greeting-Pause, Verbindungslimit und Rate-Kontrolle nicht korrekt gespeichert.
- Bugfix: Im SMTP-Gateway wurden die Einträge für Domain-Mapping nicht korrekt gelöscht.
- Bugfix: Das Live-Log im Admin-Interface brach nach zirka 15 Minuten im geöffneten Zustand ab.
- Bugfix: Fehler in QoS-Filtern behoben.
- Feature: HTTPS SSL-Interception im transparenten Proxy-Modus (Wiki).
- Feature: Neue Netmap Funktion im Paketfilter (Wiki).
- Feature: Mail-Connector zum Abholen von E-Mails via POP3(S)/IMAP(S) und Weiterleiten per SMTP (STARTTLS) (Wiki).
- Feature: Neuer Mailfilter für transparent POP3 Proxy, Mail-Connector und SMTP Gateway (Wiki).
- Feature: Überarbeitete Active Directory/LDAP Integration.
- Feature: Digest-E-Mail Report (Spamreport).
- Feature: Neues User-Interface.
- Feature: Neuer Regel-Wizard im Admin-Interface.
- Feature: Die Handhabung der Netzwerkobjekte und Dienste im Portfilter wurden überarbeitet.
- Feature: Neuer Interface-Wizard im Admin-Interface generiert automatisch Regeln für den Portfilter.
- Feature: Neuer SSL-VPN-Wizard für Site-To-Site Verbindungen.
- Feature: Überarbeiteter Live-Log im Admin-Interface.
- Feature: Passwort-Sicherheitsprüfung im Admin-Interface.
- Feature: Neue Portlets im Admin-Interface für: CPU-Temperatur, Festplatte, SSL-VPN.
- Feature: Portlets nun skalierbar.
- Feature: Die Graphen in den Portlets zeigen nun nicht mehr die letzten 3 Monate, sondern das gesamte vergangene Jahr.
- Feature: Neue Online-Hilfe im Admin-Interface.
- Feature: Rundgang mit Kurzbeschreibung der Funktionen des Admin-Interface.
- Feature: Audit Log dokumentiert Konfigurations-Änderungen.
- Feature: OTP Authentifizierung für Webinterface, SSH, Konsole, SSL VPN, IPSec xAuth (Wiki).
- Feature: QR-Codes für OTP und WLAN.
- Feature: Neue Cyren und Clamav Scan-Engines.
- Feature: Dynamic DNS unterstützt jetzt IPv6.
- Feature: Implied Rules werden nun auch bei Änderungen des User-Interface Ports automatisch angepasst.
- Feature: Neues CLI Kommando zum Anzeigen und Löschen der Mail-Queue des SMTP-Gateway.
- Feature: Neue Webfilter Kategorie für gefährliche Webseiten standardmässig bei Neuinstallationen aktiv.
Known Issue:
Authentifizierung am HTTP Proxy mittels LDAP muss neu konfiguriert werden. Erstellen Sie dazu in der Benutzerverwaltung eine neue Gruppe und weisen Sie dieser Gruppe, eine Gruppe aus dem LDAP zu. Die Gruppe muss das Recht „HTTP_PROXY“ besitzen. Aktivieren Sie nun im HTTP Proxy die „Basic“ Authentifizierung. Die neue LDAP Anbindung unterstützt nun auch alle Features, die bereits mit Active Directory möglich waren.
Prüfen Sie nach dem Update insbesondere folgende Funktionalität:
- Mailfilter: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Wir empfehlen eine Regel für die neue Kategorie "Bulk E-Mail" anzulegen.
- Active Directory/LDAP Integration: Bitte überprüfen Sie ob die Einstellungen korrekt übernommen wurden! Falls die UTM nach dem Update nicht mehr am Active Directory angemeldet ist, melden Sie die UTM neu am AD an.
Build 11.4.3.6
Release Date: 29.01.2015
- Security Bugfix: Kritisches Problem in der glibc Library behoben (CVE-2015-0235).
- Bugfix: Update der OpenSSL Library (https://www.openssl.org/news/secadv_20150108.txt).
- Bugfix: Update SSL VPN (https://community.openvpn.net/openvpn/wiki/SecurityAnnouncement-97597e732b).
- Bugfix: Update des DNS Server der UTM (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8500).
- Bugfix: Update IPSec Dienst (https://www.strongswan.org/blog/2015/01/05/strongswan-denial-of-service-vulnerability-(cve-2014-9221).html).
- Bugfix: Update ClamAV Virenscan-Engine.
- Bugfix: Fallback Verhalten bei Verwendung von Point-To-Point Interfaces verbessert.
- Bugfix: Memory-Leak im DynDNS Dienst beseitigt.
- Bugfix: Fehler im Template des Mailrelay für Smarthost Port korrigiert.
- Feature: Anzahl der File Descriptor im HTTP Proxy über die CLI konfigurierbar (CLI: extc value set application "http_proxy" variable ULIMITN value 8192).
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.6 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.
Build 11.4.3.5
Release Date: 30.09.2014
- Security Bugfix: Kritische Probleme in der Bash-Shell behoben (CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277).
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.5 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.
Build 11.4.3.4
Release Date: 25.09.2014
- Security Bugfix: Kritisches Problem in der Bash-Shell behoben (CVE-2014-6271).
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.4 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.
Build 11.4.3.3
Release Date: 23.09.2014
- Bugfix: Das Update behebt das ungewollte Starten des Active Directory Dienstes, wenn der Dienst nicht konfiguriert ist.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.
Build 11.4.3.2
Release Date: 23.09.2014
- Bugfix: Fehler beim Löschen von E-Mail Domains in den Domain Mapping Einstellungen des Admin-Interface behoben.
- Bugfix: Als ungültig markierte X.509 Zertifikate werden nun bei SSL VPN korrekt abgelehnt.
- Bugfix: Stabilitätsverbesserungen beim Update von Dynamic DNS Accounts.
- Bugfix: Problem bei IPv6 Router Advertisement behoben.
- Bugfix: Stabilitätsverbesserungen bei Multipath Konfigurationen.
- Bugfix: Optimierungen beim Umschalten von Clusterkonfigurationen und dem Neuinitialisieren der Dienste.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.
Build 11.4.3.1
Release Date: 03.09.2014
- Security Bugfix: Update OpenSSL Library.
- Bugfix: Problem bei Benutzung des Algorithums Serpent oder Twofish mit 256 Bit bei IPSec behoben.
- Bugfix: Problem beim Anlegen eines VDSL Interfaces ohne Link behoben.
- Bugfix: Memory-Leak im Syslog Dienst behoben.
- Bugfix: Änderungen in der Interface Einstellung „Route Hint“ wurden nicht aktualisiert.
- Feature: Die Port-Einstellungen des lokalen Webservers sind nun auch in den Server Einstellungen zu finden.
- Feature: Kernel wurde aktualisiert und die aktuellsten Hyper-V Treiber implementiert (Unterstützung ab Windows Server 2008 R2).
- Feature: Integration der LIS (Linux Integration Services) für Hyper-V.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.4.3.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Bei der Verwendung von Windows Server 2008 muss nach dem Update der Typ der Netzwerkkarte zu "Legacy" ("Ältere Netzwerkkarte") geändert werden.
Build 11.4.2
Release Date: 23.06.2014
- Security Bugfix: Kritische Probleme in der OpenSSL Library behoben (https://www.openssl.org/news/secadv_20140605.txt).
- Bugfix: Update ClamAV Virenscan-Engine.
- Bugfix: Korrektur WebInterface in der Webfilter-Konfiguration bei französischer Spracheinstellung im Browser behoben.
- Bugfix: Regex Anpassung im Mailfilter für Anbindung an Microsoft Exchange.
- Bugfix: Fehler in der CLI im Paketfilter-Regelwerk und Mailfilter behoben, bei Angabe der Positions-Option (pos).
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4.1.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.4.1.4
Release Date: 24.04.2014
- Feature: Problem bei SMTP Verbindungen zu Microsoft Exchange Servern die eine fehlerhafte TLS Implementation benutzen, behoben.
- Feature: In den Relaying Einstellungen des SMTP Dienstes können die konfigurierten Domains nun weiter eingeschränkt werden (Exakten Domainnamen für das Relaying verwenden).
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4.1.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.4.1.3
Release Date: 08.04.2014
- Security Bugfix: Kritisches Problem in der OpenSSL Library behoben. Betrifft nur UTMs die bereits auf dem Stand 11.4.1.2 sind (https://www.openssl.org/news/secadv_20140407.txt)
- Bugfix: Beim HTTP Proxy mit deaktivierter SSL Interception wurde bei gesperrten HTTPS Seiten nicht auf die korrekte Fehlermeldungsseite des Proxys umgeleitet.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4.1.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.4.1.2
Release Date: 26.03.2014
- Bugfix: HTTPS Aushandlung des Reverse Proxy und des Webserver für das Admin- und User-Interface optimiert.
- Bugfix: Update der SSL Library.
- Bugfix: Problem bei Dial On Demand der Point-To-Point Verbindungen behoben.
- Bugfix: Problem bei doppelten IP Adressen in der Cluster-Konfiguration behoben.
- Bugfix: Problem bei IPv6 DHCP Client Konfigurationen behoben.
- Bugfix: Problem beim Anlegen von Rule-Routing Einträgen im Paketfilter behoben.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4.1.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.4.1.1
Release Date: 20.02.2014
- Bugfix: Behebt ein Problem in der Datenbank für X.509 Zertifikate.
Hinweis:
In den Versionen kleiner 11.4.1 war es möglich mehrmals das gleiche Zertifikat zu importieren.
Wenn das der Fall ist, sind nach dem Update auf die Version 11.4.1 keine Zertifikate mehr sichtbar.
Sollten Sie das Problem haben, wenden Sie ein Rollback an und aktualisieren danach auf die Version 11.4.1.1.
Die Version 11.4.1.1 entfernt automatisch, doppelt vorhandene Zertifikate.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4.1.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.4.1
Release Date: 19.02.2014
- Bugfix: HTTP Proxy NTLM Authentifizierung, Probleme mit Umlauten im Benutzername behoben.
- Bugfix: Fehlende Firmware für die Netzwerkkarten der RC410 hinterlegt.
- Bugfix: Fehler innerhalb des Routings bei Verwendung von Multipath und L2TP mit Proxy ARP behoben.
- Bugfix: Die ClamAV-Virenscan-Engine wurde auf Version 0.98.1 aktualisiert.
- Bugfix: Das Update der Mailarchive-Regel-Datenbank bei UTMs kleiner Version 11.3 ist korrigiert.
- Bugfix: Fehler in der Suchfunktion in den Netzwerkeinstellungen behoben.
- Feature: Die SSL VPN Implied Rule paßt sich nun automatisch an die Ports der SSL VPN Server Konfigurationen an. Bei der Verwendung der Implied Rule, ist es nun nicht mehr notwendig im Paketfilter dafür Regeln zu erstellen.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.4
Release Date: 27.01.2014
- Security Bugfix: Der SSH Dienst wurde aktualisiert wegen möglicher lokalen Rechte-Ausweitung.
- Bugfix: Problem mit IPv6 Router-Advertisement-Daemon in Cluster Konfiguration behoben.
- Bugfix: Die Funktion Factory Defaults löscht nun auch die hinterlegte Lizenz.
- Bugfix: Fehler beim Einrichtungsassistenten bei Verwendung des IE10 von Microsoft behoben.
- Bugfix: Mögliche Probleme beim Rücksichern einer Konfiguration aus dem Cloud-Backup behoben.
- Bugfix: Clientless VPN konnte nicht mit AD Usern verwendet werden. Rechte-Problem behoben.
- Bugfix: L2TP-Dienst konnte unter bestimmten Umständen nicht neu gestartet werden.
- Bugfix: Feste DHCP Leases sind nun editiertbar und das MAC Adressen Feld unterstützt nun das Einfügen mittels „cut and paste“.
- Bugfix: In der Zertifikatsverwaltung werden Intermediate-CAs nun auch unter CAs angezeigt.
- Feature: Im HTTP Proxy kann man nun bei SSL Interception den Public Key der ausgewählten CA direkt herunterladen.
- Feature: Das PDF zur Dokumentation der Konfiguration enthält nun auch diverse Betriebssystem Informationen, wie den aktuellen Routing-Table, Netzwerk-Interfaces und Prozess-Übersicht.
- Feature: Amdosoft b4 Monitoring Agent zur Überwachung der UTM implementiert.
- Feature: Zur Konfiguration des Reverse Proxy steht nun ein Wizard zur Verfügung.
- Feature: VLans mit einer gleichen ID können nun auf unterschiedlichen Interfaces erzeugt werden.
- Feature: Beim Erzeugen von Zertifikaten kann nun eine Schlüssellänge angegeben werden und Daten aus der CA können direkt übernommen werden.
- Feature: Der HTTP Proxy Content Filter unterstützt die BPJM Filterliste (Bundesprüfstelle für jugendgefährdende Medien).
- Feature: Feste DHCP Leases können mit der selben MAC Adresse nun bei unterschiedlichen Netzen eingetragen werden.
- Feature: Regeln im Paketfilter, die keine Funktion besitzen, werden nun entsprechend gekennzeichnet.
- Feature: Im Cockpit steht nun eine neue App zur Verfügung (Neighbor) das alle lokalen Systeme anzeigt, die über die Firewall kommunizieren.
- Feature: Apps können nun temporär vergrössert werden und bei Apps die Graphen anzeigen kann nun auch gezoomt werden.
Folgendes ist bei dem Update zu beachten:
Der VPN Dienst PPTP ist bei Neuinstallationen nun Standardmässig ausgeblendet. Unter den erweiterten Einstellungen im WebInterface kann dieser manuell wieder aktiviert werden. Um in die erweiterten Einstellungen zu gelangen, drücken sie auf der Tastatur die Kombination <Strg><Alt>a (auf einer Apple Tastatur <crtl><alt>a). Unter dem Hauptpunkt Extras erscheint dann der Menü Punkt erweiterte Einstellungen.
Bei UTMs mit Flashspeicher und weniger als 1,5 GB RAM, wird aus Ressourcen Gründen der Clamav Virenscanner nach dem Update deaktiviert. Dienste, die diesen Nutzen sollten, werden automatisch auf den Commtouch Virenscanner konfiguriert. Im WebInterace bekommen sie nach dem Update eine entsprechende Nachricht, wenn das auf Ihre UTM zutrifft.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.4 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.3.1.2
Release Date: 23.10.2013
- Bugfix: Im Union FS Layer wurden versteckte Dateien nicht vollständig gelöscht.
- Bugfix: Logging des SNMP Dienstes angepasst.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.3.1.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.3.1
Release Date: 15.10.2013
- Bugfix: Eventuell auftretende Probleme im Mailrelay in Verbindung mit Smarthost behoben.
- Bugfix: Fehler im Mailfilter beim Filtern auf SRC/DST behoben.
- Bugfix: Fehler im WebInterface beim Bearbeiten des UMTS APN behoben.
- Bugfix: Umrechnungsfaktor beim HTTP Proxy in der Bandbreiten-Einschränkung angepasst.
- Feature: Unterstützung für die Netzwerkkarte NetXtreme erweitert.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.3.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.3.0.3
Release Date: 01.10.2013
- Bugfix: Eventuell auftretende Probleme mit der Cluster-Synchronisation behoben.
- Bugfix: Problem beim Anlegen von mehr als zwei WLans behoben.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.3.0.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.3.0.2
Release Date: 19.09.2013
- Bugfix: SSL VPN Site to Site Fehler in der Authentifizierung behoben.
- Bugfix: Erneutes Versenden von E-Mails die als Spam klassifiziert wurden, werden nun nicht erneut durch den Mailfilter geparst.
- Bugfix: LDAP Fehler im Mailrelay behoben.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.3.0.2 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.3.0.1
Release Date: 06.09.2013
- Bugfix: Problem mit Terra Lizenzen nach Update auf 11.3 gelöst.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.3.0.1 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.3
Release Date: 06.09.2013
- Security Bugfix: Cross-Site-Scripting Lücke im Live Log behoben. 1
- Security Bugfix: Directory-Traversal-Attacke in Clientless VPN behoben. 1
- Security Bugfix: Unauthorisierter Datei-Upload in Clientless VPN behoben. 1
- Security Bugfix: Clientless VPN Websocket-Verbindung. Fehler in der Prüfung auf Session ID behoben.
- Bugfix: Active Directory Gruppen werden nun nach Alphabet sortiert.
- Bugfix: Die Limitierung des Mailarchives auf 3,2 GByte wurde aufgehoben.
- Bugfix: Fehler in der Zeit-Einstellung korrigiert.
- Bugfix: Fehler beim Anlegen eines PPTP DSL Interfaces behoben.
- Bugfix: VLAN-Interface wurden nicht vollständig entfernt, wenn diese in der Konfiguration entfernt wurden.
- Bugfix: Fehler in der Auswahl des Tastatur-Layouts am Login an Konsole behoben.
- Bugfix: Clientless VPN: Domain Namen mit mehr als 15 Zeichen wurden bei Übergabe an den RDP Server abgeschnitten.
- Bugfix: Clientless VPN: Problematik mit einigen Remote Desktop Servern behoben.
- Bugfix: HTTP Proxy: Webseiten die ein Statuscode 200 zurück liefern und keinen Content hinterlegen, produzierten ein ICAP Protokoll Fehler.
- Bugfix: HTTP Proxy: NTLM Authentifizierung mit Umlauten im Benutzernamen.
- Feature: HA Funktionalität (erfordert HA Lizenz) Cluster Konfiguration - Best Practice
- Feature: DHCP Client IPv6 Unterstützung.
- Feature: Lokale HTTP Proxy Auswertung.
- Feature: Export Name von SSL VPN Client geändert, zum einfacheren Import in Mac OSX Tunnelblick Client.
- Feature: Neuer Befehl manager (new|get|set) um über die CLI einfacher IP Adressen für die Administration frei zu schalten.
- Feature: Logmeldungen für SSL VPN angepasst um unterschiedliche Verbindungen besser zu unterscheiden.
- Feature: Die laufende Konfiguration kann nun zwecks Dokumentation gedruckt werden.
- Feature: Mailrelay: ausgehende IP Adresse fest einstellbar.
- Feature: Mailfilter: Die Regeln können nun per Drag and Drop verschoben werden.
- Feature: HTTP Proxy: Webfilter Standardverhalten einstellbar.
- Feature: Reverse Proxy: SSL Protokoll einstellbar.
- Feature: UserInterface: Spam-Filter mit Resend-Funktionalität.
- 1)Securepoint GmbH lässt präventiv in regelmässigen Abständen Security Audits durch unabhängige Unternehmen durchführen. Die Fehler wurden im Rahmen eines Penetrationstests durch die Firma RedTeam Pentesting GmbH mit Sitz in Aachen gefunden (https://www.redteam-pentesting.de).
Known Issue: Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit, dass sich nach dem Update auf die Version 11.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert. Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.2.5.3
Release Date: 30.07.2013
- Bugfix: Die ClamAV-Virenscan-Engine wurde auf Version 0.97.8 aktualisiert.
- Bugfix: Doppelt im SSL-VPN-Server eingetragene Subnetze werden beim Übermitteln der Daten entfernt.
- Bugfix: Das Cache-Log des HTTP-Proxy wird jetzt korrekt rotiert.
- Bugfix: Beim Export von RSA-Schlüsseln über das Webinterface wird jetzt immer der Public-Key exportiert. Der Download des Private-Keys ist weiterhin über die CLI möglich:
rsa export id <ID> flags PRIVATE
- Bugfix: Es wurde ein Problem beim Ausführen des Befehls
user who
behoben, der zum Einfrieren der Appliance führen konnte.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass sich nach dem Update auf die Version 11.2.5.3 von einer Version < 11.2 die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie nach dem Update umgehend die Reihenfolge der Schnittstellen.
Build 11.2.5.2
Release Date: 26.06.2013
- Bugfix: Fehler beim Bearbeiten von Routen behoben.
- Bugfix: Problem beim Anlegen von PPTP Interfaces behoben.
- Feature: Diverse Verbesserungen im Bereich der Wlan-Konfiguration.
- Feature: Netzwerk Bridging. Interfaces können zu einer Bridge zusammengefasst werden (siehe auch http://wiki.securepoint.de/index.php/Bridging_UTMV11).
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2.5.2 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.
Build 11.2.5.1
- Bugfix: WLan Probleme mit Apple iOS6 Geräten, die den 802.11n-Modus unterstützen, behoben.
- Bugfix: IPSec Tunnelaufbau nach DSL Zwangstrennung verbessert.
- Bugfix: Zeitweise hohe CPU Last in Zusammenhang mit FWA-3210 Hardware und LCDd behoben.
- Feature: HTTP Proxy kann bei eingeschalteter Authentifizierung (Browser hat Proxy eingetragen) nun gleichzeitig auch im transparenten Modus ohne Authentifizierung betrieben werden.
- Feature: Konfigurations-Wizard um WLan Einstellungen erweitert.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2.5.1 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.
Build 11.2.5
- Security Bugfix: Im Linux Kernel wurde eine Sicherheitslücke geschlossen, die es einem lokalen User ermöglicht sich root-Rechte zu verschaffen.
- Bugfix: Reduzierung der Virenscanner Threads bei Appliances mit einem Core und weniger als 1GHz.
- Bugfix: Bei Verwendung des ECAP Modules (Virenscanner), konnte es vorkommen das einige File Deskriptoren nicht wieder geschlossen werden.
- Bugfix: Mögliche Einwahl-Probleme bei DSL PPPoE Verbindungen nach Zwangstrennung behoben.
- Bugfix: Umstellung der Mail-Queue auf einen permanenten Speicherbereich, so das E-Mails aus der Queue nach einem Reboot nicht verloren gehen.
- Bugfix: Beim Editieren von PPPoE wurde das Interface fälschlicher Weise nicht wieder als dynamisches Interface markiert.
- Bugfix: Beim Importieren einer Konfiguration UTM V10 wurden PPPoE Interfaces nicht als dynamisches Interface markiert.
- Bugfix: Übermittlung der LZO Einstellungen an den SSL VPN Client korrigiert.
- Bugfix: Editieren von SSL VPN Site to Site Verbindungen korrigiert.
- Bugfix: Beim manuellen Löschen aller Konfigurationen startete die UTM nicht in den Werkseinstellungen.
- Bugfix: Der Status von IPSec IKEv2 Verbindungen wurde im WebInterface nicht korrekt dargestellt.
- Bugfix: Der Mailfilter (Spamfilter) produzierte unter umständen doppelte Header Einträge in den verarbeiteten E-Mails.
- Bugfix: Verbindet sich ein SSL VPN Client mit aktivierten IPv6 Support, wurden das Log mit einer Log-Meldung dazu geflutet.
- Bugfix: Speicher- und Performance Verbesserung des Firewall Servers.
- Feature: Neues App für das Cockpit für die Zugriffsstatistik über den transparenten HTTP Proxy.
- Feature: Es können für die Administration nun auch Hostnamen anstatt IP Adressen/Netze eingetragen werden.
- Feature: In der Konfiguration des Mailfilters sind nun auch „oder“ Verknüpfungen in den Regeln möglich.
- Feature: Neue implizierte Regel um das NAT für IPSec automatisch zu deaktivieren.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2.5 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.
Build 11.2.3
- Bugfix: Das Update enthält die fehlende Firmware für einige Broadcom Netzwerkkarten.
- Bugfix: Problem beim dynamischen Erstellen der Zertifikate im SSL Proxy behoben.
- Bugfix: Es werden nun Wildcard Zertifikate im SSL Proxy erzeugt, wenn der Hostname in der URL länger als 64 Zeichen ist.
- Bugfix: Interoperabilität des PoP3 Proxy mit PoP3 Connectoren verbessert.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2.3 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.
Build 11.2.2
- Bugfix: Update Root Hints im Nameserver.
- Bugfix: Update der TLS Komponenten.
- Bugfix: Problem bei Verwendung des Mailrelays und der Smarthost Funktion im Zusammenhang mit TLS gelöst.
- Bugfix: Automatisches Laden des NAT Moduls für Aktiv-FTP behoben.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2.2 von einer Version < 11.2 sich die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.
Build 11.2.1
- Bugfix: Update der TLS Komponente für Clientless VPN.
- Bugfix: Behebt Darstellungsproblem im UserInterface, Bereich Spamfilter.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2 sich die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.
Build 11.2
- Security Bugfix: Validierungstiefe der Authentifizierung im WebInterface erhöht, um eine mögliche Rechteausweitung zu unterbinden. Eine Schwachstelle in der Authentifizierung im WebInterface ermöglicht unter Umständen die Manipulation von Bereichen der Datenbank.
- Bugfix: Bereinigung einiger Fehler bei Verwendung von Fallback-Interface- Konfigurationen.
- Bugfix: Verbesserung der UMTS Einwahl bei schwankender Signalstärke.
- Bugfix: Cloudbackup Fehler bei Konfigurations-Namen mit Leerzeichen beseitigt.
- Bugfix: Möglicher Fehler beim dekodieren von E-Mail-Headern im Mailfilter korrigiert.
- Bugfix: Verwendung von Umlauten im HTTP Proxy Webfilter korrigiert.
- Bugfix: Verbesserungen der Ausfallsicherheit beim Multipathrouting.
- Bugfix: Fehler bei Verwendung von lokalen Gruppen im HTTP Proxy beseitigt.
- Bugfix: Zugriff auf einige Versionen des MS IE Servers über den HTTP Proxy beseitigt.
- Bugfix: Möglicher Abbruch eines Download bei eingeschalteten Virenscan in Kombination mit bestimmten Webserver behoben.
- Feature: SMP Prozessor Unterstützung.
- Feature: Aufbau von GRE Tunneln über die Interface-Einstellungen implementiert.
- Feature: Automatische Update-Funktion für den SSL-VPN Client.
- Feature: Unterstützung von IPSec Kompression und Erweiterung der Implied Rules.
- Feature: Reverse Proxy, Unterstützung von Authentication-Passthrough.
- Feature: HTTP Proxy Virenscanner, Whitelist des ICY-Protokolls einstellbar.
- Feature: Im Regelwerk können nun Dienste auch mit der Stateless-Funktion konfiguriert werden.
Known Issue:
Bei einer Appliance mit einer zusätzlichen PCI-Netzwerkkarte besteht die Möglichkeit,
dass nachdem Update auf die Version 11.2 sich die Reihenfolge der eth-Interface ändert.
Bitte prüfen Sie umgehend nachdem Update die Reihenfolge der Interface.
Build 11.1.2
- Bugfix: Aufgrund eines Fehlers bei der Datenbankkonvertierung, konnten einige Konfigurationsdatenbanken nicht auf die Version 11.1.1 aktualisiert werden. Mit der Version 11.1.2 wird die Konvertierung erfolgreich durchgeführt.
Build 11.1.1
- Bugfix: Problem beim manuellen Neustart des Spamfilter Dienstes behoben.
- Bugfix: Fehler beim Anlegen von mehr als einem WLAN Netz behoben.
- Bugfix: Fehler in den implizierten Regeln für SSL VPN und Verwendung des TCP Protokolls behoben.
- Bugfix: Bei statischen DHCP Leases wurde kein Standard-Gateway/Nameserver übermittelt.
- Bugfix: Mögliche, falsche Dekodierung des Mailheaders im Mailfilter Dienst behoben.
- Bugfix: Mögliche Datenbankkorruption im Authentisierungs-Dienst behoben.
- Bugfix: HTTP Proxy Performance verbessert.
- Bugfix: Caching im Contentfilter verbessert.
- Bugfix: Fehler im Anlegen von SSL VPN Site to Site Verbindungen behoben.
- Bugfix: Fehler beim Anlegen der Netzwerkmaske bei SSL VPN Roadwarrior Verbindungen behoben.
- Bugfix: Fehler in der automatischen Aktualisierung des Live-Logging im WebInterface behoben.
- Feature: Im LCD Display wird jetzt die vollständige Versionsnummer angezeigt.
Build 11.1
- Bugfix: Active Directory Authentifizierung für PPTP/L2TP VPN Verbindung.
- Bugfix: Zuweisung fester IPs für PPTP/L2TP/SSL VPN Verbindungen.
- Bugfix: Zuweisung von DNS/WINS Servern bei PPTP/L2TP Verbindungen.
- Bugfix: TLS Support für PoP3Proxy deaktivierbar.
- Bugfix: Setzen des Server-Flags bei Zertifikaten.
- Feature: Verbesserungen der Bandbreite bei WLan Verbindungen.
- Feature: Optimierungen beim Import von Konfigurationen aus der Version 10.
- Feature: WoL Funktion für Active Directory Benutzer im UserInterface.
- Feature: SSL VPN Funktion für Active Directory Benutzer im UserInterface.
Build 11.0.1
- Bugfix: Portfiltersortierung, die Regeln wurden in Gruppen sortiert.
- Bugfix: Contenfilter funktionierte nicht korrekt.
Build 11.0 - First Release
SICHERUNGSMANAGEMENT
- Cloudbackup
NETZWERK
- IPv6 Funktionalität
- Konfiguration zu externen Tunnelbrokern (z.B. HE.net)
- IPv6 DHCP + Router Advertisment
- DHCP-Relay (generell nun auch durch VPN Tunnel möglich)
- Regeln für DHCP werden automatisch für das entsprechende Interface angelegt
- WLAN Access Point
- Virtuelle WLANs (zum Beispiel Gäste Netze)
- PSK oder Enterprise Authentisierung (Active Directory)
- UMTS
- Generelle Internetverbindung über UMTS oder Fallback
PACKETFILTER
- Einzelne Host/Netze/Dienste oder in Kombination mit Gruppen möglich (kein Gruppenzwang mehr)
- Implied Rules Konfiguration
- Standarddienste wie Bootp, Netbios Broadcast... die nicht explizit freigeschaltet sind, können durch einen
Klick aus dem vom Logging entfernt werden.
- Standarddienste wie VPN können durch einen Klick der Zugriff gewährt werden, ohne extra eine Regel zu
schreiben.
- Static NAT, Hide Nat und deren Ausnahmen werden jetzt direkt im Paketfilter konfiguriert.
- Bedeutet: wenn solch eine Regel geschrieben wird, muss keine extra Regel mehr für die Freischaltung
erstellt werden.
- Überarbeitet QoS Management
HTTP PROXY
- Deaktivieren der transparenten Funktion oder stoppen des Dienstes erwirkt auch Deaktivierung des Redirect
(gilt auch für PoP3 Proxy)
- Virenscanning, Auswahl zwischen Comtouch und Clamav Virenscanner
- SSL Interception
- Webfilter/Contentfilter (kein Dansguardian mehr, alles über Squid und unserem Contentfilter)
- Dedizierte Konfiguration von Nutzer oder/und Netzwerken
- AdBlocking zentral möglich
REVERSE PROXY
- Reverse Proxy für http/https
- Loadbalacing auf interne Server
- Bandbreitenmanagment
- diverse Filtermöglichkeiten
SPAM FILTER
- kein Bayes Filter mehr, nur noch über Comtouch Spamfilter und unserem Contentfilter
(Beispiel: pornografische Links)
NAMESERVER
- Erstellung eigener Zone Files über die Oberfläche (Domain als auch Reverse).
DIENSTE STATUS
- Zeigt nicht nur Stopp/Gestartet sondern auf Fehler.
IPSEC
- Unterstützung von XAuth (interessant für iPhone und VPN Clients die das Unterstützen)
OPEN VPN
- Site-to-Site Konfiguration nun auch möglich
CLIENTLESS VPN
- VPN über den Browser für RDP und VNC ohne zusätzliche Plugins (moderner Browser erforderlich)
USERMANAGEMENT
- Gruppenmanagement
- Integration in Verzeichnisdienste
CLI
- Komplett neue CLI Syntax
- CLI auch über die Weboberfläche möglich
UPDATE
- Beim Online-Update und Update über Speichermedium ist es möglich wieder auf die vorherige Version zurück
zu gehen.