Sophos hat die neue Firmware SFOS 17.5.7 MR 7 für XG freigegeben. Ihr könnt Euch das Update vom MySophos Account herunterladen und manuell installieren. Es ist ca 282 MB groß. Mit dem Update wird auch die TCP SACK PANIC Schwachstelle behoben.
Falls Ihr den Workarround aus dem Artikel Sophos UTM/XG, TCP SACK PANIC CVE-2019-11477 angewendet habt, so muss dieser nach dem Update rückgängig gemacht werden.
Es folgt die Liste der Bugfixes:
NC-41262 [Authentication] Users randomly getting disconnected with CAA NC-46466 [CaptivePortal] Connection security configuration options for Captive Portal and HTTP Proxy NC-46787 [CM (Zero Touch)] Some USB pen drives fails to mount NC-46750 [Dynamic Routing (PIM)] Camera recordings are missing at NVR NC-46707 [Email] Exception for IP reputation and RBL works incorrectly NC-43902 [Firewall] API export of service objects has the incorrect order NC-45322 [Firewall] NMI backtraces NC-45603 [Firewall] Legacy Mode SMTP rule with IPlist not working NC-47632 [Firewall] TCP SACK PANIC - Kernel vulnerabilities NC-45720 [Firmware Management] Device rebooting continuously while boot with SFOS firmware version after migration from CROS NC-46658 [RED] Typo in Popup message after RED creation in German language setting NC-43414 [Authentication, SSLVPN] Login restriction feature on user accounts for SSL VPN not working correctly NC-45258 [SSLVPN] Wrong route is added while using static virtual IP address in SSL-VPN Site-to-Site tunnel NC-46579 [Web] Unable to add sub-domain when sub-domain contains single value NC-47906 [Wireless] TCP SACK PANIC - Kernel vulnerabilities on XG managed AP
Weitere Informationen erhaltet Ihr in der Sophos Community. Eine Anleitung, wie man das Update manuell installiert, findet Ihr hier: How to upgrade the firmware.
Update: Sophos hat die Wireless Firmware 11.0.009 fertiggestellt. Das Update wird über die Patternaktualisierung verteilt, sofern SFOS 17.5 MR7 installiert ist. Hier die Liste der Fehlerbehebungen:
NC-45250 [Wireless] Performance of XG managed APX120 is less than cloud managed APX120 NC-47906 [Wireless] TCP SACK PANIC - Kernel vulnerabilities on XG managed AP
Weitere Informationen findet Ihr hier: Wireless Firmware 11.0.009 Pattern Update.
Pingback: Sophos UTM/XG, TCP SACK PANIC CVE-2019-11477... - SULT.eu IT-Blog