Release Notes CSG 5.5.18

Collax Security Gateway
23.06.2014

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

Security: Linux Kernel 2.6.32.62

Mit diesem Update wird der Linux Kernel 2.6.32.62 installiert. Diese Version behebt das Problem mit futex local privilege escalation bei dem lokale Benutzer Root-Rechte erlangen können. Zusätzlich bezieht sich das Update auf

CVE-2014-0196

Net: Schutz vor Brute-Force-Attacken

Ab diesem Update ist es möglich einen Dienst zum Schutz vor Brute-Force-Attacken zu aktivieren. Diese neue Funktion ermöglicht es die IP-Adresse eines Angreifers nach einer bestimmten Anzahl unerlaubter Loginversuche zu sperren. Die Sperre kann für eine bestimmte Dauer gesperrt werden und wird nach Ablauf automatisch aufgehoben. Alternativ kann die Sperrung manuell aufgehoben werden. Desweiteren lassen sich hiervon bestimmte Netzwerke ausnehmen. Darüberhinaus können mehrere IP-Adressen zur zusätzlichen Sperrung manuell angegeben werden.

Backup/Restore: Sicherungsziel ändern

Wenn ein Sicherungsziel geändert wird, ohne dass die originalen Volumen Dateien mit umgezogen werden, führt dies zu einem unbrauchbaren Backup. Mit diesem Release werden entsprechende Hinweise an den Administrator ausgegeben.

System-Management: Importierte Gruppen mit Bindestrich

Die Einbindung von Collax Servern in ein Microsoft ActiveDirectory dient dazu, die Benutzer von Diensten des Collax Servers im ActiveDirectory zu authentifizieren und dass benutzerbezogene Daten aus dem ActiveDirectory ausgelesen und von den Collax Server-Diensten benutzt werden können. Bisher durften AD-Gruppen keinen Bindestrich enthalten. Mit diesem Update können AD-Gruppen, die Bindestriche enthalten, der lokalen Richtlinienverwaltung zur Verfügung gestellt werden.

In dieser Version behobene Probleme

Security: Skriptsprache PHP5 und PHP-Bibliotheken

Im Quell-Code von PHP5 und den PHP-Bibliotheken wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Die Version PHP 5.3.28 wird installiert und bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):

CVE-2013-2110 CVE-2013-4248 CVE-2013-6420

Security: GnuTLS-Bibliothek

Im Quellcode der Bibliothek GnuTLS wurde eine Sicherheitslücke entdeckt. Diese wird mit diesem Software-Update geschlossen.

Ein Patch für GnuTLS wird installiert und bezieht sich auf folgende CVE-Nummern:

CVE-2014-3466

Security: Datenbank MySQL

Im Quellcode der Datenbank MySQL wurden Sicherheitslücken entdeckt. Diese wird mit diesem Software-Update auf Version MySQL 5.5.38 geschlossen.

Oracle MySQL Risk Matrix

Security: Kryptographiewerkzeug OpenSSL

Im Quellcode des Kryptographiewerkzeugs OpenSSL wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Mit diesem Update wird OpenSSL 0.9.8za installiert. Siehe auch hier . Die Fehlerbehebung bezieht sich auf folgende CVE-Nummer:

CVE-2014-0224 CVE-2014-0195 CVE-2014-0221 CVE-2014-0198 CVE-2010-5298 CVE-2014-3470 CVE-2014-0076

E-Mail: Primäre E-Mail-Adresse eines Benutzers aus Active Directory

Durch einen Fehler im Programmcode war die Option Benutze primäre E-Mail-Adresse aus Active Directory bisher auch im deaktivierten Zustand aktiv. Die Einstellung kann im Formular Einstellungen → Mail und Messaging → SMTP Empfang im Reiter Optionen vorgenommen werden. Ab diesem Update lässt sich die Option deaktivieren.

Authentifizierung: Synchronisation mit Active Directory schlägt bei Benutzer mit Umlaut fehl

Bisher wurde die Synchronisation mit dem ActiveDirectory unterbrochen, wenn ein AD-Benutzer Umlaute im Vor- oder im Nachnamen hatte und daraus Auto-Aliase generiert wurden. Der Dienst ADproxy war anschließend gestoppt, und in der Benutzerverwaltung wurden die Gruppen aus dem AD nicht angezeigt. Mit diesem Update werden abhängig von den SMTP-Einstellungen nun aus Vorname und Nachname des Benutzers nicht zulässige Zeichen automatisch konvertiert. Die Synchronisation mit dem ActiveDirectory läuft bis zum letzten Benutzer durch.