Blog

Sophos hat heute zusätzlich die aktuelle Firmware 9.508-10 zum Download bereit gestellt. Auch sie kann unter ftp://ftp.astaro.com/pub/UTM/v9/up2date/ heruntergeladen werden. Falls das Update manuell auf der UTM installiert werden soll, so muss auch die 9.507-1 heruntergeladen werden.

Hier ist die Liste an Fehlerbehebungen, sie ist ziemlich lang.

NUTM-8739 [Access & Identity] Argos segfault and coredump after update to v9.502
NUTM-9164 [Access & Identity] SSLVPN installation packages fail to copy user profile during installation
NUTM-9344 [Access & Identity] All users are locked when a lockout policy via GPO was set
NUTM-9047 [Basesystem] VLAN interface on the bridge doesn't come up when slave becomes the master
NUTM-9296 [Configuration Management] Report Auditor is unable to open the dashboard in UTM
NUTM-9397 [Configuration Management] Log Remote Archiving via SCP fails when used with OpenSSH >= 7.0
NUTM-9497 [Documentation] ATP - Invalid status display on Webadmin for Japanese,Russian,Spanish language
NUTM-4174 [Email] POP3 spool cleanup does not work
NUTM-8794 [Email] Wrong MIME Type detection
NUTM-8937 [Email] Upgrade SMIME
NUTM-9046 [Email] SPX binary error with Office365
NUTM-9098 [Email] Mail stuck in work queue
NUTM-9252 [Email] Patch Exim for CVE-2014-2972 and CVE-2016-9963
NUTM-9259 [Email] POP3 Proxy coredump in "libc_start_main"
NUTM-9337 [Email] Selecting an AD Server for AD Recipient Verification in SMTP isn't possible after update to v9.506
NUTM-9382 [Email] WebAdmin user not able to disable the "Recipient Verification" in SMTP Routing
NUTM-9303 [HA/Cluster] HA "max_nodes" option set to 3 causes named to fail to start
NUTM-9405 [HA/Cluster] Interface MAC addresses shouldn't get replicated on slave node if virtual_mac is set to 0
NUTM-3497 [Network] BGP soft-reconfiguration not working
NUTM-8118 [Network] After upgrading to 9.500 "Service Monitor not running - restarted" notifications being received
NUTM-8432 [Network] Local Privilege Escalation via confd Service
NUTM-8604 [Network] Changing a bridge IP address causes bridge to go down when using vlans
NUTM-8887 [Network] DNS group objects doesn't delete old IP addresses
NUTM-9064 [Network] Network monitoring daemon constantly restarts since upgrade to 9.503
NUTM-9177 [Network] Disabled static routes are being put into the routing table
NUTM-9465 [Network] Wrong/Old IPv6 Tunnel Broker URLs in Webadmin
NUTM-8759 [Sandboxd] Add support for Sandstorm's Asia data centre
NUTM-9006 [UI Framework] Not possible to download different SSLVPN User Profiles in one Firefox session
NUTM-6955 [WebAdmin] Error text appears in dialog when trying to view user object usage
NUTM-8567 [WebAdmin] Update to ImageMagick-7.0.7-11
NUTM-9116 [WebAdmin] Object information can't be displayed for specific objects
NUTM-9128 [WebAdmin] PCI Scan failing on UserPortal due to missing HSTS and CSP
NUTM-9430 [WebAdmin] Issue with X-Content-Type-Options header presented by UTM
NUTM-7201 [Web] HTTP Proxy connections hang in CLOSE_WAIT state
NUTM-8638 [Web] Add group visibility in log with unlimited AD groups
NUTM-8746 [Web] After changing group membership, old one is still available from winbind
NUTM-8886 [Web] TLS Input/output error when connecting to web site
NUTM-9113 [Web] HTTP Proxy coredump on 9.505
NUTM-9166 [Web] HTTP Proxy coredump on function deny_ntlm_auth
NUTM-9332 [Web] DNSExpire coredump causes slow browsing
NUTM-9416 [Web] HTTP Proxy coredump on 9.506 with signal SIGFPE Arithmetic Exception
NUTM-3127 [Wireless] AP55/100 connection issues - disconnected due to excessive missing ACKs
NUTM-6640 [Wireless] Fix visibility of Fast Transition option in different security modes
NUTM-7013 [Wireless] Frequent disconnects on guest wifi network after >1 week
NUTM-8243 [Wireless] Update dropbear SSH Server to fix CVE-2016-7409, CVE-2016-7408, CVE-2016-7407, CVE-2016-7406
NUTM-8299 [Wireless] UTM stops broadcasting SSIDs for the built-in wireless after upgrade to 9.5
NUTM-8781 [Wireless] W-appliance - wireless network connection issue with Bridge to AP LAN
NUTM-8827 [Wireless] Internal wireless not broadcasting SSID after updating to 9.503
NUTM-8832 [Wireless] Integrated wireless adapter can be deleted
NUTM-8930 [Wireless] Unable to see the SSID and connect to local wifi on 2.4 Ghz band
NUTM-8940 [Wireless] kernel: [ xxxx.xxxxx] CPU: 0 PID: 13902 Comm: iw Tainted: G W O 3.12.74-0.265397234.g263c982.rb6-smp64 #1
NUTM-8945 [Wireless] SG115w SSID not broadcasted since updated to 9.503
NUTM-9338 [Wireless] Client is not getting disconnected if MAC address is removed from whitelist

Weitere Informationen findet Ihr in der Sophos Community.

Update: Das DFN weißt auf mehrere geschlossene Schwachstellen hin. Weitere Informationen unter DFN-CERT.

Update: Bisher keine Probleme auf meiner Testumgebung.

Update: Aufgrund der als kritisch eingestuften Sicherheitslücken habe ich gestern eine produktive UTM aktualisiert. Bisher hat der Kunde keine Unverträglichkeiten gemeldet. Auch wenn die Lücken im SSH-Server kritisch sind, die meisten von Euch werden SSH sicherlich ausgeschaltet haben. Die Exim-Lücke wird mit einem low-Impact eingestuft. Man muss jetzt nicht mit aller Gewalt die neue Firmware installieren, nur weil die Medien Panik verbreiten. Erst abwarten und sich Infos in der Community holen, ob nicht doch irgendwelche Fehler in der Firmware sind. Es sind Probleme bekannt, siehe folgend:

Update: Übrigens hört man nichts mehr von den Angriffszenarien Meltdown und Spectre/2. Im Advisory sind immerhin weitere IPS-Pattern gelistet. Weitere Informationen findet ihr hier.

Update: Mir ist heute aufgefallen, dass die digitale Unterschrift von gesendeten Emails als ungültig eingestuft werden:

Update: Der Verdacht, dass es ein Problem bezgl. der Email-Encryption in der 9.508 gibt, erhärtet sich. Ich habe gestern mal einen SMTP-Dump zum Support geschickt und warte auf Rückmeldung. In der Sophos Community haben weitere User dieses Fehlverhalten bestätigt.

Update: Der Support verweist auf den Artikel Sophos UTM: S/MIME Encryption updates. Wirklich hilfreich ist der für mich leider nicht. Nachdem ich mein Zertifikat widerrufen und neu beantragt habe, wird dennoch beim Empfänger angezeigt, dass meine digitale Signatur ungültig ist.

Update: Jetzt via Up2Date!

Update: Der Support hat mir eine Antwort geschickt: Eine Lösung wäre ein Update auf die Version 9.508 auf Seiten des Absenders und des Empfängers. Dumm nur, dass nicht alle eine UTM mit aktivierter Email-Encryption im Einsatz haben.

Update: Im Artikel wurde der Begriff „Bug“ entfernt, da die Email-Encrytion auf RSASSA-PSS angepasst wurde. Dieser Algorithmus wird nur leider noch von keiner CA unterstützt. Pflicht wird dieser erst ab 01.01.2019. Meiner Meinung nach sollte Sophos wieder auf den Marktstand RSA-SHA-256 zurück gehen oder eine Auswahlmöglichkeit im Webmin erstellen.

Update: Bezüglich des Problems mit ungültigen, signierten Emails gibt es einen Lösungsansatz, siehe hier.

Update: Sophos hat die Firmware 9.509-3 herausgebracht. Weiter Informationen findet Ihr hier.