Sophos UTM 9.605-1 verfügbar…

Nach knapp 2 Wochen hat Sophos nun die UTM 9.605 freigegeben. Die Firmware ca. 100 MB groß. Es handelt sich um ein Maintenance Release und Ihr könnt es hier herunterladen: u2d-sys-9.604002-605001.tgz.gpg.

 

Update: Sophos hat für alle, die noch UTM 9.510-5 im Einsatz haben, eine Updatedatei für UTM 9.605 hinterlegt. Die Firmware findet Ihr hier: u2d-sys-9.510005-605001.tgz.gpg. Sie ist knapp 407 MB groß.

Sophos stuft die Firmware mit Wichtigkeit hoch und dringend ein. Momentan befindet es sich noch im Softrelease. Durch UTM 9.605-1 werden unter anderem die Schwachstellen CVE-2019-0211 und CVE-2019-0220 gefixt. Dazu gibt es auch schon einen Artikel bei DFN-CERT.

Außerdem wird das Problem bezgl. RED 50 behoben (Bitte Artikelupdate unten beachten), welches hier umfangreich diskutiert wurde: Sophos SG kein Firmwareupdate auf 9.601 oder 9.602-3 mit RED. Weiterhin sollte der Fehler begl. des Webfilters in UTM 9.602 erledigt sein.

Hier die Liste der Fehlerbehebungen:

NUTM-10885 [Basesystem] Fallback log flooded since update to 9.6
NUTM-10667 [Email] Emails are not being processed, have "Stale ID in DB" in debug log
NUTM-10870 [Email] UTM not rejecting emails with dot at the end of the local part address
NUTM-10809 [RED] Offline provisioned RED15 loses their config in case of UTM reboot
NUTM-10812 [RED] RED can't connect to UTM if it is configured in transparent/split mode and a DNS name as UTM hostname
NUTM-10903 [RED] Transparent/split: DNS does not work if the gateway and DNS server are different but in the same network
NUTM-10962 [RED] Fix for RED50 does not start up after firmware update for most scenarios
NUTM-10636 [Reporting] Executive report not accurate - missing SSL VPN sessions
NUTM-10877 [Sandstorm] Sandbox Activity in Webadmin does not show all activities since 9.6
NUTM-10822 [WAF] Privilege escalation from modules' scripts (CVE-2019-0211)
NUTM-10823 [WAF] URL normalization inconsistency (CVE-2019-0220)
NUTM-10886 [WAF] All HTTP requests are forwarded to HTTPS
NUTM-10978 [WAF] reverseproxy.log does not show requested domain
NUTM-10986 [WAF] HTML rewriting in large embedded CSS leaks memory
NUTM-10705 [WebAdmin] Potential User Portal session cookie hijacking
NUTM-10862 [WebAdmin] After updating to 9.6 read only admins cannot see advanced tabs
NUTM-10941 [WebAdmin] Webadmin not accessible when user prefetch is running
NUTM-10952 [WebAdmin] HTTPS pages sporadically no longer work with transparent proxy since 9.602
NUTM-10748 [Web] Proxy restarted httpproxy.DeferredExpire
NUTM-10792 [Web] Follow up: New Web Templates for content warn does not work in 9.6
NUTM-10802 [Web] HTTPS websites are not accessible through http proxy if you follow the BSI recommendation regarding TLS
NUTM-10816 [Web] Blockpage font rendered incorrectly in Firefox
NUTM-10876 [Web] Web Proxy blocks range requests since 9.6
NUTM-10895 [Web] Video from NEST CAM constantly loading
NUTM-10985 [Web] HTTP proxy is getting crashed with segfault and core dump

Weitere Informationen findet Ihr in diesem Beitrag: UTM Up2Date 9.605 Released.

Update: Jan Weber (Product Manager Network Security Sophos) hat bezgl. der Probleme mit RED 50 folgendes mitgeteilt: Die neue einheitliche RED-Firmware, die in UTM 9.605 enthalten ist, enthält eine Lösung bezgl. des Brick-Problems mit RED 50. Welche das genau ist, schreibt er nicht.

Es besteht allerdings noch immer die Möglichkeit, dass der Fehler während des Updates auf 9.605 auftritt. Und zwar dann, wenn auf der RED 50 eine noch ältere Firmware installiert ist, weil diese zuvor durch den Workarround deaktiviert wurde. Das liegt wohl am Firmwareupdateprozess der RED-Firmwares.

Es besteht eine gute Wahrscheinlichkeit, dass dieses Problem nicht auftritt, wenn die RED nicht ausgelastet ist. Während des Updateprozesses empfiehlt Herr Weber, das lokale Netzwerk hinter der RED zu trennen. Laut seiner Aussage wird dieser Fehler in den kommenden RED-Firmwares nicht wieder auftreten.

Update: Die Sandstormstats sind jetzt auch wieder funktionstüchtig!

Update: Jetzt auch via Up2date erhältlich!

Thorsten Sult

Keine gewerbliche Nutzung und keine Werbung! Sämtliche Inhalte unterliegen dem Urheberrecht. Sollten Euch meine Artikel geholfen haben, wäre ich sehr dankbar für einen Kommentar. Gerne auch anonym.

Dieser Beitrag hat 20 Kommentare

  1. Sind schon Probleme bekannt?

    1. Ich hab noch nichts getestet und werde es heute auch nicht mehr schaffen. Schau einfach öfter in der Community nach.

      1. Ich habe das Update bereits gestern bei einem Kunden installiert. Noch ist mir nichts negatives aufgefallen.

  2. Hallo,
    leider ist die Version nicht mehr auf dem FTP verfügbar.
    Gruss

  3. Gibt wohl noch immer Probleme mit den REDs bei Sophos.

      1. Hey, danke für die Info!

  4. Also bei mir nicht. Wir fahren RED15 und RED50 und hatten keine Probleme mit dem Update.

  5. Wow, sehr ausführlich! Grüße aus Osna

  6. Nur zur Info! Es gibt nach dem Update Probleme mit VPN zu Fritzboxen. Update der Fritzboxen auf Version 7.12 soll das Problem beheben.

  7. [zitat]“Es besteht eine gute Wahrscheinlichkeit, dass dieses Problem nicht auftritt, wenn die RED nicht ausgelastet ist.“[/zitat]
    Oh man! Das ist aber eine sehr dürftige Aussage von Sophos. Ich habe ca 15 RED angebunden. Dann muss ich ja jetzt jeden Standort anrufen, die sollen das Lan-Kabel ziehen?

  8. Bei mir laufen zwei SG330 mit 9.605-1 sehr gut nach dem Update.
    Wir haben aber kein RED im Einsatz, nur WLAN, Sandstorm, etc.

    Ein Problem habe ich gefunden: Wenn ein Threat gefunden wird, sieht die E-Mail so aus:
    Advanced Threat Protection

    A threat has been detected in your network
    The source IP/host listed below was found to communicate with a potentially malicious site outside your company.

    Details about the alert:

    Threat name….: $THREAT_NAME
    Details……..: http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/$THREAT_URL.aspx
    Time………..: $TIMESTAMP
    Traffic blocked: $DROPPED

    Source IP address or host: $SRC

    Man sieht nur die Variablen. Ich habe ein Ticket bei Sophos eröffnet.

  9. Einen weiteren Bug habe ich auch noch gefunden:
    Der Support Access lässt sich nicht mehr aktivieren.
    Es wird keine Support Access ID generiert und angezeigt.

    1. Kann ich nicht bestätigen! Das muss ein anderes Problem sein. Zeigt das Liveprotokoll irgendwelche Fehler?

  10. Im Livelog steht leider gar nichts. Ich habe nun ein Ticket bei Sophos erzeugt.

  11. Nach dem Neustart der UTM funktioniert der Support Access und die E-Mail vom ATP.

Schreibe einen Kommentar

Menü schließen