Release Notes CBS 7.2.16

Collax Business Server
22.02.2023

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf Menu → Software → Systemupdate und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

Zusatz-Software: Neues Zusatzmodul - Bitdefender Antivirus

In diesem Release haben die 3rd-Party Module Zuwachs durch das neue Collax Antivirus powered by Bitdefender bekommen. Verstärken Sie Ihre E-Mail-Sicherheitslösung mit Bitdefenders Anti-Virus und Anti-Malware Technologie. Das neue Zusatzmodul kann als Bundle oder einzeln für die Bereiche Mail, Web und File eingesetzt werden. Integriert ist auch der Cloud-Schutz, der optional eingeschaltet werden kann. Laut Bitdefender soll sich dadurch die Erkennungsrate nochmals erhöhen und die Zahl der falsch positiven Erkennungen vermindern. Bei der Überprüfung in der Cloud werden keine Dateien übertragen, nur Hash-Werte und einige Meta-Informationen, sowie eine ID des Servers. Da wir Ihre Datenhoheit respektieren, ist die Cloud-Funktion standardmäßig abgeschaltet.

Zusatz-Software: Bitdefender Anti-Spam Cloud-Schutz

Mit diesem Release integriert ist auch der Cloud-Schutz für den Anti-Spam-Filter, der optional eingeschaltet werden kann. Laut Bitdefender soll sich dadurch die Erkennungsrate nochmals erhöhen und die Zahl der falsch positiven Erkennungen vermindern. Bei der Überprüfung in der Cloud werden keine Dateien übertragen, nur Hash-Werte und einige Meta-Informationen, sowie eine ID des Servers. Da wir Ihre Datenhoheit respektieren, ist die Cloud-Funktion standardmäßig abgeschaltet.

System-Management: Linux Kernel 5.10.166

Mit diesem Update wird der Linux Kernel 5.10.166 installiert.

GUI: Zusatzinfos innerhalb des Löschen bestätigen Dialogs

Beim Löschen von Listeneinträgen innerhalb der Formulare wird nun innerhalb des Löschen bestätigen Dialogs auf den Namen des zu löschenden Eintrags referenziert. Beispiel: Das Löschen des Benutzers “stefan” wird nun erweitert und statt “Bitte bestätigen Sie diese Aktion: Löschen” wird der Dialog “Bitte bestätigen Sie diese Aktion: (stefan)” angezeigt. Der Name der Referenz bezieht sich hierbei immer auf das entsprechende Objekt.

Security: Stärkere kryptografische Parameter für die Zwei-Faktor-Authentisierung

Für den WebAccess kann ein Verfahren zur Zwei-Faktor-Authentisierung (2FA) eingeschaltet werden, das zusätzlich nach einem zeitlich begrenzten Einmalkennwort fragt. Das individuelle Einmalkennwort erhält der Benutzer durch eine Authenticator App oder einem Security Token. Um die Sicherheit zu erhöhen, werden mit diesem Release stärkere kryptografische Parameter verwendet.

Security: Wichtige sicherheitsrelevante Systempakete

Im Quellcode wichtiger Systempakete wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Die Fehlerbehebung bezieht sich auf die Pakete

  • glib2.0_2.58.3-2+deb10u4
  • ncurses_6.1+20181013-2+deb10u3
  • Curl 7.87.0
  • gmp_6.1.2+dfsg-4+deb10u1
  • glibc 2.28-10+deb10u2
  • net-snmp_5.7.3+dfsg-5+deb10u4
  • expat_2.2.6-2+deb10u6
  • libtasn1
  • unzip
  • pixman
  • libtirpc
  • libksba
  • OpenSSL

Anbei ein Auszug der bekanntesten Pakete und CVE Nummern.

  • CVE-2021-3800 - Due to random charset alias, pkexec can leak content from files owned by privileged users to unprivileged ones under the right condition
  • CVE-2022-29458 - out-of-bounds read and segmentation violation in convert_strings in tinfo/read_entry.c in the terminfo library
  • CVE-2021-43618 - integer overflow and resultant buffer overflow via crafted input
  • CVE-2021-33574 - The mq_notify function in the GNU C Library (aka glibc) versions 2.32 and 2.33 has a use-after-free
  • CVE-2016-10228 - The iconv program in the GNU C Library enters an infinite loop
  • CVE-2019-19126 - the GNU C Library (aka glibc) before 2.31 fails to ignore the LD_PREFER_MAP_32BIT_EXEC environment variable
  • CVE-2019-25013 - The iconv feature in the GNU C Library may have a buffer over-read.
  • CVE-2020-1752 - A use-after-free vulnerability introduced in glibc upstream version 2.14 was found
  • CVE-2020-6096 - An exploitable signed comparison vulnerability exists
  • CVE-2020-10029 - The GNU C Library could overflow an on-stack buffer
  • CVE-2020-27618 - The iconv function fails to advance the input state
  • CVE-2021-3326 - The iconv function fails an assertion in the code path
  • CVE-2021-3999 - An off-by-one buffer overflow and underflow in getcwd() may lead to memory corruption
  • CVE-2021-27645 - The nameserver caching daemon (nscd) in the GNU C Library may crash due to a double-free
  • CVE-2021-33574 - The mq_notify function in the GNU C Library has a use-after-free
  • CVE-2021-35942 - The wordexp function in the GNU C Library may crash or read arbitrary memory
  • CVE-2022-23218 - svcunix_create copies its path argument on the stack without validating its length
  • CVE-2022-23219 - clnt_create copies its hostname argument on the stack without validating its length
  • CVE-2022-44793 - NULL Pointer Exception
  • CVE-2022-43680 - use-after free
  • CVE-2022-4304 - timing based side channel
  • CVE-2022-4450 - point to a buffer that has already been freed
  • CVE-2023-0215 - a function returns a NULL result indicating a failure
  • CVE-2023-0286 - a type confusion vulnerability
  • CVE-2021-46848 - GNU Libtasn1 before 4.19.0 has an ETYPE_OK off-by-one array size check
  • CVE-2022-0529 - out-of bounds write during charset conversion
  • CVE-2022-0530 - out-of bounds write during charset conversion
  • CVE-2022-44638 - heap-based buffer overflow
  • CVE-2021-46828 - possible DOS
  • CVE-2022-3515 - Integer overflow in CRL parser
  • CVE-2022-47629 - Integer overflow in CRL signature parser

In dieser Version behobene Probleme

Collax Advanced Networking: Schutz vor Brute-Force-Attacken für verschlüsseltes IMAP

Die Funktion Brute-Force-Schutz (fail2ban) ermöglicht es die IP-Adresse eines Angreifers nach einer bestimmten Anzahl unerlaubter Loginversuche zu sperren. Aufgrund eines Fehlers im Programmcode von fail2ban funktionierte der Brute-Force-Filter nicht für verschlüsseltes IMAP. Mit diesem Release wurde der Filter modifizert, damit fail2ban mit imaps funktioniert.

Mailarchiv: Fehlermeldung des Index-Prozesses

Für das E-Mail-Archiv wird täglich der Suchindex aktualisiert. Unter seltenen Umständen führte die Ausführung des Index-Prozesses zur Meldung “Error: E-Mail Archive Index Update”. Dies wird mit diesem Update korrigiert.

GUI: Verbesserungen der Suchfunktion der Administrationsoberfläche

Ab dieser Version werden einige Korrekturen innerhalb der Suchfunktion der Administrationsoberfläche vorgenommen. Dies betrifft die Suche nach bestimmten Hosteinträgen und Suchergebnisse werden nun nach Bezeichnungen sortiert, wenn die Ergebnisprioritäten übereinstimmen.

Zwei-Faktor-Authentisierung: Geheime Schlüssel 2FA

Die Tabelle Geheime Schlüssel 2FA gibt einen Überblick, für welche Logins ein geheimer Schlüssel (Token) existiert. Es konnten selektiv händisch einzelne geheime Schlüssel oder alle geheimen Schlüssel gelöscht werden. Beim Löschen eines Benutzers wurden die zugehörigen Tokens jedoch nicht automatisch entfernt. Dies wurde korrigiert. Ab diesem Release werden Tokens von gelöschten Benutzern und auch Tokens von lokal deaktivierten Benutzern automatisch entfernt. Dies geschieht viertelstündlich durch einen 2FA-Cronjob.

Mail: Nur lokale Mailzustellung

Die Gruppenberechtigung “Nur lokale Mailzustellung” funktionierte nicht im Zusammenspiel mit der Spam-SMTP-Filterfunktion “Teergrube emulieren”. Bei aktivierter Teergrube wurde die E-Mail beim Versand an lokale Empfänger fälschlicherweise mit dem Hinweis “Sender address rejected: Access denied” abgelehnt. Dies wurde mit diesem Update behoben.

Hinweise

Zusatz-Software: Bitdefender - Proxy für Updates

Die Updates der Virenmuster (Pattern) werden nach einem eingestellten Zyklus durchgeführt. Für das Patternupdate des Bitdefender Viren- und Spamfilters ist momentan die Benutzung eines http-Proxies nicht möglich.

Zusatz-Software: Bitdefender - Patternupdate nach Inbetriebnahme

Nach Inbetriebnahme des Moduls Collax Antivirus powered by Bitdefender kann es einige Minuten dauern, bis die aktuellen Virenmuster (Pattern) heruntergeladen wurden. Klickt man währenddessen im Virenscanner Formular auf Bitdefender aktualisieren, kommt es zu einer Fehlermeldung “Error connecting to server at /opt/lib/bitdefender//bdamsocket: -3”, da der Hintergrundprozess noch nicht vollständig ausgeführt wurde.

GUI: Laufende Jobs hängen sporadisch

Der Fortschritt der Konfigurationsjobs wird in der rechten oberen Ecke der Webadministration angezeigt. Bei umfangreichen Änderungen im Berech Netzwerk, allen voran im Bereich Ländersperre (geo-ip) kann in seltenen Fällen die Job-Anzeige der Aktivierung hängen und zu einem Timeout führen. Für Updates bis Release 7.2.14 erschien zusätzlich die Meldung “ipset v7.11: Set cannot be destroyed: it is in use by a kernel component” die zu Unsicherheit führte konnte. Die Änderungen werden allesamt korrekt übernommen und es handelt sich hier lediglich um ein kosmetisches Problem. Bis der Fehler vollständig behoben ist, können Sie sich mit einem Reload des Browserfensters behelfen.

VPN: Fix für IKEv2 mit Microsoft Windows bricht nach 7,6 Stunden ab

VPN-Verbindungen mit IKEv2 und den Bordmitteln von Microsoft Windows werden nach genau 7,6 Stunden unterbrochen. Der Fehler tritt auf, da Microsoft Windows während der IKE-Neuverschlüsselung andere Algorithmen vorschlägt als bei der ersten Verbindung. Mit einem Registry-Fix lässt sich das Problem beheben, indem der Wert “NegotiateDH2048_AES256” unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters auf 1 gesetzt wird.

Unter folgendem Link finden Sie eine REG-Datei (Registryeintrag) die den Registrierungsschlüssel hinzufügt. Collax übernimmt keine Haftung für Systemfehler, die daraus resultieren.