Sophos UTM 9.604-2 verfügbar…

Sophos hat die neue Firmware UTM 9.604 auf dem FTP-Server veröffentlicht. Es handelt sich um ein Maintenance Release und ist ca 90 MB groß. Via Up2date ist es leider noch nicht erhältlich. Mit dem Update wird die TCP SACK PANIC Schwachstelle behoben.

Update: Sophos UTM 9.605-1 verfügbar.

Achtung bei Einsatz von RED 50! Siehe Beitragsupdate unten!

Falls Ihr einen der folgenden Workarrounds aus dem Artikel Sophos UTM/XG, TCP SACK PANIC CVE-2019-11477 angewendet habt, so muss dieser nach dem Update auf 9.604 rückgängig gemacht werden.

Die Firmware könnt Ihr unter folgendem Link herunterladen ftp://ftp.astaro.com/pub/UTM/v9/up2date/.

Hier die „Liste“ der Fehlerbehebungen:

NUTM-11036 [Kernel] TCP SACK PANIC - Kernel vulnerabilities

Weitere Informationen findet Ihr wie immer in der Sophos Community.

Update: Es sind teilweise Probleme mit RED 50 und 9.604 aufgetreten! Siehe folgenden Advisory: Sophos UTM – Issue with RED 50 after upgrade to v9.6.

Stellt sicher, dass Eure RED 50 offline ist, bevor Ihr das Update durchführt. Die RED darf keine Internetverbindung haben. Nach der Installation der neuen Firmware deaktiviert Ihr die RED-Firmware. Dazu führt man auf der Shell der UTM folgendes als root aus:

cc set red use_unified_firmware 0

Bei HA müsst Ihr dies auch auf dem Slave ausführen. Als root führt Ihr vorher auf der Shell folgendes aus:

ha_utils ssh

Nachdem die Firmware deaktiviert wurde, könnt Ihr die RED 50 wieder anschließen bzw. einschalten. Danke an BAlfson für den Hinweis in diesem Thread: URGENT ALERT: Issue with RED 50 and 9.604 which fixes the TCP SACK PANIC vulnerability.

Update: Jetzt auch via Up2date erhältlich!

6 Gedanken zu „Sophos UTM 9.604-2 verfügbar…

  1. Mumpitz

    Hi,
    ich habe zwei Fragen! Ich hatte die RED-Firmware schon bei 9.6 deaktiviert, muss ich das jetzt nochmal machen? Und wie wird der Workarround rückgängig gemacht?

    Antworten
    1. Thorsten Sult Beitragsautor

      Moin,

      nach dem Update wird wohl „cc set red use_unified_firmware 1“ auf true gesetzt, weswegen es wieder auf false gesetzt werden muss.
      Bei den Workarrounds entfernst Du die Zeile „net.ipv4.tcp_mtu_probing = 0“ bzw. „net.ipv4.tcp_sack = 0“ aus der Datei /etc/sysctl.conf.

      Antworten
  2. C Rakete

    Ohje, da hätte ich ja fast meine ganzen REDs zerschossen, wenn ich das hier nicht gefunden hätte. Danke für die Info°

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.