Sophos UTM 9.604-2 verfügbar…

Sophos hat die neue Firmware UTM 9.604 auf dem FTP-Server veröffentlicht. Es handelt sich um ein Maintenance Release und ist ca 90 MB groß. Via Up2date ist es leider noch nicht erhältlich. Mit dem Update wird die TCP SACK PANIC Schwachstelle behoben.

Update: Sophos UTM 9.605-1 verfügbar.

Achtung bei Einsatz von RED 50! Siehe Beitragsupdate unten!

Falls Ihr einen der folgenden Workarrounds aus dem Artikel Sophos UTM/XG, TCP SACK PANIC CVE-2019-11477 angewendet habt, so muss dieser nach dem Update auf 9.604 rückgängig gemacht werden.

Die Firmware könnt Ihr unter folgendem Link herunterladen ftp://ftp.astaro.com/pub/UTM/v9/up2date/.

Hier die „Liste“ der Fehlerbehebungen:

NUTM-11036 [Kernel] TCP SACK PANIC - Kernel vulnerabilities

Weitere Informationen findet Ihr wie immer in der Sophos Community.

Update: Es sind teilweise Probleme mit RED 50 und 9.604 aufgetreten! Siehe folgenden Advisory: Sophos UTM – Issue with RED 50 after upgrade to v9.6.

Stellt sicher, dass Eure RED 50 offline ist, bevor Ihr das Update durchführt. Die RED darf keine Internetverbindung haben. Nach der Installation der neuen Firmware deaktiviert Ihr die RED-Firmware. Dazu führt man auf der Shell der UTM folgendes als root aus:

cc set red use_unified_firmware 0

Bei HA müsst Ihr dies auch auf dem Slave ausführen. Als root führt Ihr vorher auf der Shell folgendes aus:

ha_utils ssh

Nachdem die Firmware deaktiviert wurde, könnt Ihr die RED 50 wieder anschließen bzw. einschalten. Danke an BAlfson für den Hinweis in diesem Thread: URGENT ALERT: Issue with RED 50 and 9.604 which fixes the TCP SACK PANIC vulnerability.

Update: Jetzt auch via Up2date erhältlich!

Thorsten Sult

Keine gewerbliche Nutzung und keine Werbung! Sämtliche Inhalte unterliegen dem Urheberrecht. Sollten Euch meine Artikel geholfen haben, wäre ich sehr dankbar für einen Kommentar. Gerne auch anonym.

Dieser Beitrag hat 6 Kommentare

  1. Hi,
    ich habe zwei Fragen! Ich hatte die RED-Firmware schon bei 9.6 deaktiviert, muss ich das jetzt nochmal machen? Und wie wird der Workarround rückgängig gemacht?

    1. Moin,

      nach dem Update wird wohl „cc set red use_unified_firmware 1“ auf true gesetzt, weswegen es wieder auf false gesetzt werden muss.
      Bei den Workarrounds entfernst Du die Zeile „net.ipv4.tcp_mtu_probing = 0“ bzw. „net.ipv4.tcp_sack = 0“ aus der Datei /etc/sysctl.conf.

  2. Moin Thorsten!

    Hast Du die Firmware schon installiert? Gab es Probleme?

  3. Ohje, da hätte ich ja fast meine ganzen REDs zerschossen, wenn ich das hier nicht gefunden hätte. Danke für die Info°

    1. Ja geil, ie Arbeit hätte ich mir jetzt auch spraren können, jetzt wo 9.605 rau ist.

Schreibe einen Kommentar

Menü schließen