Sophos hat die Firmware UTM 9.701-6 auf dem FTP-Server veröffentlicht. Ihr könnt Euch die Updatedatei u2d-sys-9.700005-701006.tgz.gpg herunterladen und es manuell installieren. Es handelt sich um ein Maintenance Release und es ist knapp 205 MB groß. Mittlerweile ist es auch seit 30.01.2020 via Up2Date erhältlich.
Update: Sophos UTM 9.702-1 verfügbar!
Mit dem Update werden die Lücken CVE-2018-12327 in NTP und CVE-2019-15846 in Exim behoben. Zu den Lücken gibt es auch diesen Advisory bei DFN-CERT. Beide Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und eine Privilegieneskalation.
Die Installation von UTM 9.701 verlangt einen Neustart der SG. Angeschlossene Accesspoints, sowie REDs führen ein Firmwareupdate durch. Hier die gesamte Liste der Bugfixes:
NUTM-11142 [AWS] Unable to create VPC tunnel to AWS GovCloud NUTM-10024 [Basesystem] Unexpected reboots of both HA nodes NUTM-10625 [Basesystem] IPs will be counted under license usage even they are not really active NUTM-10893 [Basesystem] UTM does not process traffic after reboot NUTM-11065 [Basesystem] iptables-restore: line 10 failed: ICMP Rule disappears sporadically NUTM-11234 [Basesystem] NTP vulnerabilitiy (CVE-2018-12327) NUTM-11121 [Configuration Management] Confd move_object() is broken NUTM-10051 [Email] DLP Custom expression does not match if message text starts with a '<' NUTM-11229 [Email] Patch Exim (CVE-2019-15846) NUTM-10019 [Network] Unexpected UDP drops (UDP / 4742) NUTM-10519 [Network] BGP neighborship not coming up NUTM-10963 [Network] NAT rules stopped working after update NUTM-11005 [Network] IP renewal doesn't work for one interface if multiple dynamic uplinks exist NUTM-11175 [Network] IPS exception does not work for SID 49666 for inbound WAF traffic NUTM-11208 [Network] Optimize route updates NUTM-11003 [UI Framework] Portal login failed to find user object of Active Directory user NUTM-11030 [UI Framework] Webadmin mass enable/disable/delete user does not work NUTM-11053 [UI Framework] Alert "Do you want to wait xx more seconds to finish the request?" does not disappear if request is done. NUTM-11214 [UI Framework] Conform to Apple's new certificate requirements (webadmin) NUTM-10960 [Web] Proxy crash with coredump on UTM 9.602 NUTM-11034 [Web] Method change on UTM warn page in 9.6 cause warning in Firefox NUTM-11102 [Web] SafeSearch not working as expected NUTM-11345 [Web] Regenerated Signing CA using 1024bit key, causing iOS 13 trust issues NUTM-11422 [Web] Error while saving any web filter profile after upgrade to 9.7 NUTM-10834 [Wireless] UTM config changelog updates when reviewing wireless network settings NUTM-11122 [Wireless] QR code missing from hotspot voucher when custom hostname is longer than 24 characters NUTM-11150 [Wireless] APs became inactive after upgrade from UTM 9.603 to 9.604
Weitere Informationen erhaltet Ihr in der Sophos Community. Solltet Ihr weitere Fragen haben, dann hinterlasst einen Kommentar oder schreibt mir eine E-Mail.
Update: Jetzt auch via UP2Date erhältlich!
Update: Es gibt vermehrt Fälle mit Problemen bei der Nutzung von REDs. Einige User berichten, dass nach dem Update die REDs zwar verbunden sind, allerdings kein Traffic durch den Tunnel geht. Offenbar verliert die SG die Route zu den Zielnetzen, wenn die RED im „Transparent-Split-Mode“ betrieben werden. Das Deaktivieren der United Firmware behebt den Fehler nicht. Sophos führt den Fehler unter der Nummer NUTM-11573 und plant einen Fix mit UTM 9.702 zu Ende März 2020.
Pingback: Sophos UTM 9.700-5 verfügbar... - SULT.eu IT-Blog
Hallo,
ich hoffe, dass das Problem mit der Zertifikatsverwaltung auch gelöst wurde.
NUTM-11561
https://community.sophos.com/products/unified-threat-management/f/german-forum/117573/webadmin—certificate-management/425417
https://community.sophos.com/products/unified-threat-management/f/hardware-installation-up2date-licensing/116388/utm-9-7005-bug-certificate-management-in-webadmin
Kann man da schon was sagen?
Gruß
Rolf
Moin Rolf,
danke für Deinen Kommentar. NUTM-11561 ist leider nicht in der Liste der Bugfixes bei 9.701. Der Fix soll mit UTM 9.702 kommen.
Hallo,
habe nun die 9.701 eingespielt.
Problem mit der Zertifikatsverwaltung erstmal gelöst.
Ist zwat sehr träge, konnte aber unser Wildcard Zertifikat einspielen.
Prima! Danke für die Rückmeldung!
Bei einem Kunden mit einem SG450 Cluster haben wir nach dem Update das Problem, dass auf Eth0 (Inside) kein Traffic mehr rein und rausgeht. Interface zeigt 0kbit/s an… Routing Tabelle stimmt, dort sind auf der UTM die Netze eingetragen. Ein schwenk auf die HA hat den Fehler behoben, zum testen sind wir dann nochmal auf die Master geschwenkt (reboot) und der Fehler ist immer noch da.
Hi, danke für Deinen Kommentar. Von dem Fehler habe so noch gar nichts gehört. Was sagt der Support dazu?
Hi Thorsten,
ist schon absehbar, wann dieser kommt?
Moin Rolf,
leider habe ich hierzu überhaupt keine Informationen. Tut mir leid!
Hi Thorsten,
Ich habe gelesen, dass man ein Public Zertifikat auch über die RESTful-API Schnittstelle einspielen kann.
Das ist dann aber schon großes Kino.
Hat evtl. noch einer weitere Lösung parat, oder Knowhow im Bereich RESTful-API, um ein Zertifikat einzuspielen?
Moin Rolf,
ich habe mich noch nicht wirklich mit der RESTful-Api beschäftigt. Wenn möglich solltest Du einen Thread in der Sophos Community erstellen. Dort wird Dir sicherlich jemand helfen können.
Und? Hast Du schon Tests durchgeführt?
Moin, danke für Deinen Kommentar. Ausgiebige Tests habe ich noch nicht durchgeführt. Es ist bei einem Kunden installiert, der immer alle Lücken schnellstmöglich geschlossen haben möchte. Der hat REDs, den Webfilter, WAF und die E-Mailprotection aktiv. Fehler sind mir bisher noch nicht aufgefallen.
Kann das sein, der der Fehler mit IOS Zertifikaten noch nicht behoben ist?
Moin Thorsten,
danke für Deinen Kommentar. Ich habe auch schon davon gehört, kann es aber nicht bestätigen.
Läuft ohne Probleme! Danke.
Prima!
Hallo Herr Sult,
wissen Sie, ob dieses Update Probleme mit RED verursachen kann? Wir sind uns unsicher, die Firmware zu installieren.
Moin,
ich habe selbst keine Probleme gehabt mit REDs. Allerdings beklagen sich User im Blog von Frank Zoechling über Ausfälle: https://www.frankysweb.de/sophos-utm-neues-update-utm-9-701-6/#comments.