Release Notes CSG 7.0.8

Collax Security Gateway
28.06.2017

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

VPN: Integration von OpenVPN

Mit diesem Collax Update wurde die Unterstützung für OpenVPN über die Collax Administationsoberfläche integriert. Das Update der ISV-Anwendung OpenVPN 2.4.3 wird innerhalb des Systemupdates aktualisiert, sofern es zuvor installiert war. Für das Upgrade von 5.8.100 auf Version 7 muss das OpenVPN in 5.8.100 erst deinstalliert und unter 7.0.8 das neue Collax ACN installiert werden. Danach ist unter Konfigurationskontrolle die Aktion “Alles aktivieren” auszuführen. Weitere Infos finden Sie hier .

VPN: Integration von OpenVPN

Mit diesem Collax Update wurde die Unterstützung für OpenVPN über die Collax Administationsoberfläche integriert. Das Update der ISV-Anwendung OpenVPN 2.4.3 wird innerhalb des Systemupdates aktualisiert, sofern es zuvor installiert war. Für das Upgrade von 5.8.100 auf Version 7 muss das OpenVPN in 5.8.100 erst deinstalliert und unter 7.0.8 das neue Collax ACN installiert werden. Danach ist unter Konfigurationskontrolle die Aktion “Alles aktivieren” auszuführen. Weitere Infos finden Sie hier .

System-Management: Laufzeit einer CRL

Eine CRL (Certificate Revocation List) ist eine Sperrliste von Zertifikaten, die von einer CA unterschrieben wurden, aber vor Ende der Laufzeit zurückgezogen wurden. Für eine CA, die auf dem System verwaltet wird, kann die CRL im Dialog Benutzungsrichtlinien -> Zertifikate -> X.509-Zertifikate erzeugt werden. Die CRL wird dann von allen lokalen Diensten automatisch verwendet. Mit diesem Update wird die Laufzeit der CRL bei neu erzeugten CRLs auf 3650 Tage erhöht.

In dieser Version behobene Probleme

Security: Sicherheitslücken - Stack Clash

Sicherheitsforschern ist es gelungen, Sicherheitslücken auszunutzen und damit Code auszuführen. Diese Lücken wurden unter dem Namen Stack Clash veröffentlicht und werden mit diesem Software-Update geschlossen. Das Update beinhaltet die Integration diverser Patches für den Kernel und die C-Bibliothek glibc. Siehe auch hier .

Die Version bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):

CVE-2017-1000364 CVE-2017-1000365 CVE-2017-1000366 CVE-2017-1000367 CVE-2017-6891

Security: gepatchter Kernel 4.4.70

Im Kernel wurden mehrere Schwachstellen im Zusammenhang mit “The Stack Clash” entdeckt. Dieses Update installiert einen gepatchten Kernel in Version 4.4.70, in dem diese Probleme behoben sind.

Security: Bug in aktuellen Intel Skylake/Kaby Lake Prozessoren

In aktuellen Intel Skylake/Kaby Lake Prozessoren kommt es bei aktiviertem Hyper-Threading aufgrund eines Bugs im Microcode zu unvorhergesehenem Systemverhalten. Mit diesem Update wird der Intel Microcode durch das Einpsielen des neuen microcode-20170511 für Intel Skylake Prozessoren behoben. Bei Kaby Lake Prozessoren wird empfoholen sicherheitshalber Hyper-Threading im BIOS zu deaktivieren. Siehe auch hier :

Security: Strongswan IKE Daemon für VPN Verbindungen

Im Quell-Code von Strongswan, dem IKE Daemon für VPN Verbindungen wurden Sicherheitslücken entdeckt, welche VPN-Links anfällig für einen Denial of Service-Angriff machten. Diese Lücken werden in einem Update auf die Version 5.5.3 geschlossen.

Die Version bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):

CVE-2017-9022 CVE-2017-9023

Security: Archivmanager unrar

Im Quell-Code von unrar wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Die Version unrar 5.5.5 wird installiert. Siehe CVE-2012-6706

GUI: Anzeige der System-Logdateien

Über die Aktion “Anzeigen” können unter Überwachung/Auswertung → Logdateien → System-Logdateien die Einträge der Logdatei angezeigt werden. Aufgrund einer Änderung im Programm loggrep konnten unter Umständen Logeinträge je nach gewählter Zeitspanne nicht meht richtig angezeigt werden. Mit diesem Release wird die Anzeige korrigiert.

Hinweise

Hardware: Boot-Einstellung für HP Smart Array Controller

Während dem Upgrade wird der vorhandene Smart Array CCISS-Treiber durch den neuen HP Smart Array SCSI (HPSA) Treiber ersetzt. Wenn ein HP/Compaq Smart Array Controller benutzt wird, wird mit diesem Update das korrekte Device angesteuert.