Auf eine Neues! Nachdem Sophos die Firmware UTM 9.703-2 aufgrund eines Fehlers zurückgezogen hat, wurde UTM 9.703-3 veröffentlicht. Sophos hatte bereits bekannt gegeben, dass „NUTM-11173 [Basesystem] IPsec doesn’t re-connect on DHCP interface after firmware upgrade“ Probleme bereitet.
Den dazu veröffentlichen Advisory findet Ihr hier: Sophos UTM – Traffic not passing after upgrading to v9.703. Der Fix NUTM-11173 wurde jedenfalls aus UTM 9.703-3 entfernt.
Falls Ihr bereits schon UTM 9.703-2 installiert hattet, verwendet Ihr folgende Updatedatei: u2d-sys-9.703002-703003.tgz.gpg. Wer noch auf dem Stand UTM 9.702-1 ist, kann folgende Firmwaredatei verwenden und manuell aktualisieren: u2d-sys-9.702001-703003.tgz.gpg.
Mit dem Maintenance Release UTM 9.703 werden mehrere, teils schwerwiegende Sicherheitslücken und weitere Probleme gefixt. Bezüglich der Sicherheitslücken gibt es Patches für strongSwan (CVE-2019-10155), für PPTP und L2TP pppd (CVE-2020-8597), für libxml2 (CVE-2019-19956, CVE-2020-7595), für den Linux Kernel (CVE-2019-18198) und für pppd (CVE-2020-8597).
Das Deutsche Forschungsnetz hat dazu auch diesen Advisory geöffnet: Sophos UTM: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes. Ihr solltet die Firmware also unverzüglich installieren.
Nachdem Ihr das Update installiert habt, startet die SG einmal neu. Angeschlossene Accesspoints, sowie REDs werden ein Upgrade und auch einen Reboot durchführen.
Anbei die Liste der Fehlerbehebungen:
NUTM-9381 [Access & Identity] WebAdmin user getting an error while browsing 'Sophos Transparent Authentication Status' tab NUTM-11258 [Access & Identity] [SAA] Wrong version of SAA displayed in Windows with MSI installer NUTM-11578 [Access & Identity] Patch strongSwan (CVE-2019-10155) NUTM-11589 [Access & Identity] [SAA] Add TLS 1.2 support for Windows client NUTM-11590 [Access & Identity] [SAA] Add TLS 1.2 support for macOS client NUTM-11675 [Access & Identity] Patch PPTP and L2TP pppd (CVE-2020-8597) NUTM-11109 [Basesystem] Status lights blinking green constantly on SG 1xx and XG 1xx seriesNUTM-11173 [Basesystem] IPsec doesn't re-connect on DHCP interface after firmware upgrade (wurde aufgrund eines Fehlers zurückgezogen)NUTM-11255 [Basesystem] Fix "Internet IPv6" binding in case of multiple IPv6 uplinks NUTM-11417 [Basesystem] SG115rev3 HA eth3 interface flapping after update to 9.7 NUTM-11645 [Basesystem] Patch libxml2 (CVE-2019-19956, CVE-2020-7595) NUTM-11561 [Configuration Management] Unable to load certificate list in WebAdmin when large number of certificates present NUTM-10803 [Email] S/MIME signed mails have an invalid signature if 3rd party CA is used NUTM-11240 [Email] Recipient verification fails due to incomplete LDAP search query NUTM-11662 [Email] Bad request for release mails out of the quarantine report after update to 9.7 MR1 NUTM-11485 [Kernel] Patch Linux Kernel (CVE-2019-18198) NUTM-11288 [Localization] AWS Current Stack link is incorrect NUTM-11081 [Network] Up-link balancing not clearing conntracks when interface goes down NUTM-11218 [Network] ulogd restarting/core-dumps NUTM-11614 [Network] Increase GARP buffer NUTM-11676 [Network] Patch pppd (CVE-2020-8597) NUTM-11573 [RED] RED interface doesn't obtain IP after UTM reboot NUTM-11467 [RED_Firmware] RED15w WPA/WPA2 enterprise cannot connect NUTM-11822 [RED_Firmware] RED15 firmware update might fail if flash has bad blocks NUTM-11378 [Reporting] Top5 Malware won't be displayed in Executive Reports if those are sent as PDF NUTM-11220 [Sandstorm] When opening Sandstorm activity which contains Korean characters for example, you get this error "cannot decode string with wide characters at encode.pm line 174" NUTM-10202 [UI Framework] [SAA] Live user table doesn't scale with very long names NUTM-11084 [UI Framework] Webadmin Information popup not visible NUTM-11191 [UI Framework] Can't download certificate in WebAdmin when name contains apostrophe NUTM-11584 [UI Framework] Replace FTP Up2date download link in WebAdmin with HTTPs NUTM-11598 [UI Framework] Internal Server Error alert thrown with initial Webadmin request after installation NUTM-11725 [UI Framework] Update prototype NUTM-11130 [Web] Add configuration for savi_scan_timeout NUTM-11346 [Web] Warn page proceed fails due to missing parameters NUTM-10269 [Wireless] SSID stops broadcasting NUTM-11581 [Wireless] User with "Wireless Protection Manager" rights is unable to change wireless settings if mesh is configured
Weitere Informationen erhaltet Ihr in der Sophos Community. Solltet Ihr weitere Fragen haben, dann hinterlasst einen Kommentar oder schreibt mir eine E-Mail.
Update: Ein Communitymitglied hat davon berichtet, dass „NUTM-10269 [Wireless] SSID stops broadcasting“ den Fehler bezgl. der Accesspoints nicht behebt.
Update: Jetzt auch via Up2date erhältlich!
Hey, das ging ja schneller als erwartet. Ich habe das Update auch schon auf einer SG 135 installiert wegen der vielen Patches. Es ist mir noch nichts aufgefallen und hoffe, dass das so bleibt.
Es würde mich ja jetzt brennend interessieren, ob das auch der Fehler bei XG v 18 ist.
Hi, danke für Deinen Kommentar und danke für die Rückmeldung!
Hi Thorsten!
Sehr ausführlicher Artikel. Dankeschön. Ich finde es gut, dass Sophos so ehrlich zugegeben hat, dass sie einen Fehler gemacht haben.
Hey, danke für Deinen Kommentar. Fehler macht jeder und ich finde auch, dass man das zugeben sollte.
Fehler macht jeder, das ist richtig! Aber auf die Anzahl kommt es an und die ist bei Sophos aktuell leider zu hoch!
Moin, danke für Deinen Kommentar. Ja, Du hast recht. Ich hoffe dass es bald besser wird. Sonst werden sich wohl einige nach einer anderen Firewalllösung umsehen.
Meiner Meinung nach muss Sophos wirklich an seiner QS arbeiten und keine Bananensoftware ausliefern, die beim Kunden reift.
Toll wäre es auch, wenn Sophos mehr zwischen Bugbehebung und Sicherheitspatches unterscheiden würden. Dann könnten die Kunden zumindest schwerwiegende Lücken patchen, wenn sie nicht unbedingt von einem Bug betroffen sind.
Das wäre ja mal was.
Habs heute installiert und läuft. Werden ja ne menge Sicherheitslücken gepatcht. Danke für Deiner Arbeit und den tollen Blog.
Hi, danke für Deinen Kommentar und danke für die Rückmeldung. Ich gebe mir Mühe!
Wann wird NUTM-11173 denn behoben? Beim nächsten Update?
Hi, danke für Deinen Kommentar. Das ist derzeit leider nicht bekannt. Ich vermute aber, dass es in der nächsten Firmware gefixt wird.
Ich war sehr verwirrt, überall ließt man, dass man das Update nicht installieren soll. Aber das bezog sich ja nur auf die Version 2. Danke für den klärenden Beitrag. Ich werde jetzt wohl öfters hier vorbei kommen. Lieben Gruß
Ja, das verwirrt wohl extrem. Danke für Deinen Kommentar!