Collax Security Gateway

Release Notes Version 7.0.20

Release-Datum: 08.02.2018

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:


Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.


  2. Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.


  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.


  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende der Vorgangs wird mit einem Done! angezeigt.


  5. Mit diesem Update wird ein neuer Kernel installiert.


    Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers.


    Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.



Inhalt

Neu in dieser Version

In dieser Version behobene Probleme

Hinweise

Bekannte Probleme


Neu in Version 7.0.20

GUI: Updateverlauf

In dem Dialog "Verlauf" im Menü "Software -> Systemupdate" kann ab diesem Release der Zeitpunkt eingesehen werden, wann welche Version installiert wurde. Die Funktion steht dabei ab dem Update und nicht rückwirkend zur Verfügung.


Netz: Quality of Service (QoS)

„Quality of Service“ (QoS) bezeichnet Verfahren, bei denen einzelnen Diensten eine bestimmte Verbindungsqualität garantiert wird. Solche Verfahren sind mit zunehmender Nutzung von Echtzeit-Datenverbindungen immer wichtiger. Collax Server bietet die Möglichkeit, solches QoS umzusetzen. Die Implementierung arbeitet unidirektional, d.h. es ist keinerlei Unterstützung durch die Gegenstelle notwendig bzw. möglich. Dabei wird QoS nur auf ausgehende Daten (Egress) angewandt. Der Empfang von Daten (Ingress) kann dagegen nur begrenzt werden. Die neue Funktion ersetzt das bisherige Bandbreitenmanagement und kann unter "Netzwerk -> Links -> QoS" aktiviert werden.



Behobene Probleme in Version 7.0.20

Security: ClamAV

Im Quellcode des Virenscanners ClamAV wurden Sicherheitslücken entdeckt, über die der Mail-Filter angreifbar ist. Das ClamAV-Paket 0.99.3 stand bereits seit dem 26.01. außerhalb des Release-Zyklus zur Verfügung. Es wurde automatisch installiert, wenn der Collax Server auf die Version 7.0.18 aktualisiert wurde. Für Server, die bereits Version 7.0.18 aufwiesen, konnte das Paket per Systemupdate nachinstalliert werden. Collax empfiehlt dringend, das bereitgestellte Paket einzuspielen. Siehe heise Security


Angreifer versuchen mindestens eine der Lücken in größerem Stil auszunutzen. Mit manipulierten PDF-Dateien können sie einen Denial of Service (DoS) provozieren. Die Version ClamAV 0.99.3 wird installiert und bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):


ClamAV blog


Security: Meltdown und Spectre - Gravierende Prozessor-Sicherheitslücke

Experten haben bei aktuellen Prozessoren verschiedener Hersteller kritische Sicherheitslücken entdeckt und unter den Namen Meltdown und Spectre veröffentlicht. Meltdown ist die Sicherheitslücke, die unprivilegierten Prozessen das Lesen von Kernel-Memory erlaubt. Spectre ist die Sicherheitslücke, die ausnutzt, dass CPUs viele Befehle spekulativ im Voraus ausführen (Speculative execution), was dazu führt, dass Speicherbereiche abgegriffen werden können. Dieses Update installiert eine Funktion gegen Spectre Variant 2 namens Retpoline, die im Linux Kernel implementiert wurde. Diese Schutzfunktion ist nicht auf Microcode Updates seitens der Prozessorhersteller angewiesen. Informationen zu Retpoline finden Sie hier.


Weitere Informationen zu Meltdown und Spectre finden Sie hier.


Collax Sicherheitsempfehlung hier.


Heise FAQ hier.


Security: Internet Domain Name Server Bind

Im Quellcode des Internet Domain Name Server Bind wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen. Siehe BIND 9.9.11-P1 Release Notes


Mit diesem Update wird die Version bind 9.9.11-P1 installiert und bezieht sich auf folgende Common Vulnerabilities and Exposure (CVE): CVE-2017-3145


Security: Besserer Schutz vor Cross-site scripting Attacken

Mit diesem Update wurde die Apache Direktive TraceEnable abgeschalten. Der TRACE Befehl konnte in XSS-Angriffen verwendet werden und sollte deaktiviert werden. Dies bezieht sich auf folgende Common Vulnerabilities and Exposure (CVE): CVE-2004-2320


GUI: Ereignis Adminpage logout

Im Dialog im Menü "Logging/Monitoring -> Ereignislog" kann das System bei bestimmten Ereignissen selbständig eine E-Mail an den Administrator schicken. Aufgrund eines Fehlers im Programmcode tauchte in der Abmeldeemail kein Username auf, im Gegensatz zur Anmeldung am System. Mit diesem Update wird der Fehler korrigiert.



Hinweise

Security: Collax Virus Protection powered by Kaspersky vor Version 7

Mit der Version 7 der Collax C-Server wurde die Anti-Virus-Engine und das Format der Pattern aktualisiert. Dies geschah, um auf neue Bedrohungen mit dem bestmöglichen Schutz reagieren zu können. Patterns für die Versionen vor 7.0.0 werden noch bis zum 31.12.2017 bereit gestellt. Ab dem 01.01.2018 stellt Kaspersky die Aktualisierung der Patterns für Collax Version 5 und älter ein. Alle Installationen mit dem Modul Collax Virus Protection sollten daher auf den aktuellen Stand gebracht werden.



Bekannte Probleme

Netz: Verbesserte Linküberwachung

Das Verhalten des Programms "linkd4" in bestimmten Szenarien wurde verbessert. Unter anderem der Wiederaufbau von VPN-Verbindung und deren Routingtabellen und die erweiterte Linküberwachung wurden verbessert. Ein Fehler im Zusammenhang mit Link Neustarts über die GUI wurde korrigiert.


VPN: Kompression

Wenn Kompression eingeschaltet ist, können einige Pakete, z.B. ICMP Requests, verloren gehen. Ab dieser Version wird Kompression in VPN-Verbindungen deaktiviert. Nichts desto trotz wird Kompression benutzt, falls die Gegenstelle dies anfordert.


VPN: Verbindungen mit Schlüsselaustausch MD5

Der Hash-Algorithmus MD5 wird in manchen Fällen für die Verschlüsselung von VPN-Tunneln benutzt. Wenn als verwendetes IPSec Proposal nur MD5 und keine weiteren konfiguriert waren und die Gegenstelle MD5 nicht akzeptierte, wurde automatisch auf SHA1 gewechselt. Ab diesem Release wechselt StrongSwan nicht mehr automatisch auf SHA1. Damit der Tunnel aufgebaut werden kann, muß im IPSec Proposal SHA1 explizit ausgewählt werden. Wenn auf der Gegenstelle bessere Hash-Algorithmen als SHA1 eingerichtet werden, werden diese automatisch von StrongSwan verwendet.


VPN: Verbindungen mit Schlüsselaustausch SHA2 (256 Bit)

Bei VPN-Verbindungen, die beim Schlüsselaustausch (IKE) den Hash-Algorithmus SHA2 (256 Bit) verwenden, kann es vorkommen, dass die VPN-Verbindung nach einem Upgrade auf Version 7 nicht mehr automatisch etabliert wird. Prüfen Sie dann zunächst das zugerhörige IPsec-Proposal. Um die VPN-Verbindung wieder herstellen zu können, aktualisieren Sie auch die Gegenstelle auf Version 7 oder passen Sie den verwendeten Algorhitmus auf beiden VPN-Verbindungsseiten auf SHA2 (384 Bit) oder höher an.