Sophos UTM 9.703-3 verfügbar…

Auf eine Neues! Nachdem Sophos die Firmware UTM 9.703-2 aufgrund eines Fehlers zurückgezogen hat, wurde UTM 9.703-3 veröffentlicht. Sophos hatte bereits bekannt gegeben, dass „NUTM-11173 [Basesystem] IPsec doesn’t re-connect on DHCP interface after firmware upgrade“ Probleme bereitet. 

Den dazu veröffentlichen Advisory findet Ihr hier: Sophos UTM – Traffic not passing after upgrading to v9.703. Der Fix NUTM-11173 wurde jedenfalls aus UTM 9.703-3 entfernt.

Falls Ihr bereits schon UTM 9.703-2 installiert hattet, verwendet Ihr folgende Updatedatei: u2d-sys-9.703002-703003.tgz.gpg. Wer noch auf dem Stand UTM 9.702-1 ist, kann folgende Firmwaredatei verwenden und manuell aktualisieren: u2d-sys-9.702001-703003.tgz.gpg.

Mit dem Maintenance Release UTM 9.703 werden mehrere, teils schwerwiegende Sicherheitslücken und weitere Probleme gefixt. Bezüglich der Sicherheitslücken gibt es Patches für strongSwan (CVE-2019-10155), für PPTP und L2TP pppd (CVE-2020-8597), für libxml2 (CVE-2019-19956, CVE-2020-7595), für den Linux Kernel (CVE-2019-18198) und für pppd (CVE-2020-8597).

Das Deutsche Forschungsnetz hat dazu auch diesen Advisory geöffnet: Sophos UTM: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes. Ihr solltet die Firmware also unverzüglich installieren.

Nachdem Ihr das Update installiert habt, startet die SG einmal neu. Angeschlossene Accesspoints, sowie REDs werden ein Upgrade und auch einen Reboot durchführen.

Anbei die Liste der Fehlerbehebungen:

NUTM-9381 [Access & Identity] WebAdmin user getting an error while browsing 'Sophos Transparent Authentication Status' tab
NUTM-11258 [Access & Identity] [SAA] Wrong version of SAA displayed in Windows with MSI installer
NUTM-11578 [Access & Identity] Patch strongSwan (CVE-2019-10155)
NUTM-11589 [Access & Identity] [SAA] Add TLS 1.2 support for Windows client
NUTM-11590 [Access & Identity] [SAA] Add TLS 1.2 support for macOS client
NUTM-11675 [Access & Identity] Patch PPTP and L2TP pppd (CVE-2020-8597)
NUTM-11109 [Basesystem] Status lights blinking green constantly on SG 1xx and XG 1xx series
NUTM-11173 [Basesystem] IPsec doesn't re-connect on DHCP interface after firmware upgrade (wurde aufgrund eines Fehlers zurückgezogen)
NUTM-11255 [Basesystem] Fix "Internet IPv6" binding in case of multiple IPv6 uplinks
NUTM-11417 [Basesystem] SG115rev3 HA eth3 interface flapping after update to 9.7
NUTM-11645 [Basesystem] Patch libxml2 (CVE-2019-19956, CVE-2020-7595)
NUTM-11561 [Configuration Management] Unable to load certificate list in WebAdmin when large number of certificates present
NUTM-10803 [Email] S/MIME signed mails have an invalid signature if 3rd party CA is used
NUTM-11240 [Email] Recipient verification fails due to incomplete LDAP search query
NUTM-11662 [Email] Bad request for release mails out of the quarantine report after update to 9.7 MR1
NUTM-11485 [Kernel] Patch Linux Kernel (CVE-2019-18198)
NUTM-11288 [Localization] AWS Current Stack link is incorrect
NUTM-11081 [Network] Up-link balancing not clearing conntracks when interface goes down
NUTM-11218 [Network] ulogd restarting/core-dumps
NUTM-11614 [Network] Increase GARP buffer
NUTM-11676 [Network] Patch pppd (CVE-2020-8597)
NUTM-11573 [RED] RED interface doesn't obtain IP after UTM reboot
NUTM-11467 [RED_Firmware] RED15w WPA/WPA2 enterprise cannot connect
NUTM-11822 [RED_Firmware] RED15 firmware update might fail if flash has bad blocks
NUTM-11378 [Reporting] Top5 Malware won't be displayed in Executive Reports if those are sent as PDF
NUTM-11220 [Sandstorm] When opening Sandstorm activity which contains Korean characters for example, you get this error "cannot decode string with wide characters at encode.pm line 174"
NUTM-10202 [UI Framework] [SAA] Live user table doesn't scale with very long names
NUTM-11084 [UI Framework] Webadmin Information popup not visible
NUTM-11191 [UI Framework] Can't download certificate in WebAdmin when name contains apostrophe
NUTM-11584 [UI Framework] Replace FTP Up2date download link in WebAdmin with HTTPs
NUTM-11598 [UI Framework] Internal Server Error alert thrown with initial Webadmin request after installation
NUTM-11725 [UI Framework] Update prototype
NUTM-11130 [Web] Add configuration for savi_scan_timeout
NUTM-11346 [Web] Warn page proceed fails due to missing parameters
NUTM-10269 [Wireless] SSID stops broadcasting
NUTM-11581 [Wireless] User with "Wireless Protection Manager" rights is unable to change wireless settings if mesh is configured

Weitere Informationen erhaltet Ihr in der Sophos Community. Solltet Ihr weitere Fragen haben, dann hinterlasst einen Kommentar oder schreibt mir eine E-Mail.

Update: Ein Communitymitglied hat davon berichtet, dass „NUTM-10269 [Wireless] SSID stops broadcasting“ den Fehler bezgl. der Accesspoints nicht behebt.

Update: Jetzt auch via Up2date erhältlich!

Thorsten Sult

Keine gewerbliche Nutzung und keine Werbung! Sämtliche Inhalte unterliegen dem Urheberrecht. Sollten Euch meine Artikel geholfen haben, wäre ich sehr dankbar für einen Kommentar. Gerne auch anonym.

Dieser Beitrag hat 13 Kommentare

  1. P.Insel

    Hey, das ging ja schneller als erwartet. Ich habe das Update auch schon auf einer SG 135 installiert wegen der vielen Patches. Es ist mir noch nichts aufgefallen und hoffe, dass das so bleibt.

    Es würde mich ja jetzt brennend interessieren, ob das auch der Fehler bei XG v 18 ist.

  2. Anonymous

    Hi Thorsten!

    Sehr ausführlicher Artikel. Dankeschön. Ich finde es gut, dass Sophos so ehrlich zugegeben hat, dass sie einen Fehler gemacht haben.

    1. Thorsten Sult

      Hey, danke für Deinen Kommentar. Fehler macht jeder und ich finde auch, dass man das zugeben sollte.

  3. Hans Damp

    Fehler macht jeder, das ist richtig! Aber auf die Anzahl kommt es an und die ist bei Sophos aktuell leider zu hoch!

    1. Thorsten Sult

      Moin, danke für Deinen Kommentar. Ja, Du hast recht. Ich hoffe dass es bald besser wird. Sonst werden sich wohl einige nach einer anderen Firewalllösung umsehen.

      Meiner Meinung nach muss Sophos wirklich an seiner QS arbeiten und keine Bananensoftware ausliefern, die beim Kunden reift.

      Toll wäre es auch, wenn Sophos mehr zwischen Bugbehebung und Sicherheitspatches unterscheiden würden. Dann könnten die Kunden zumindest schwerwiegende Lücken patchen, wenn sie nicht unbedingt von einem Bug betroffen sind.

      1. Anonymous

        Das wäre ja mal was.

  4. Anonymous

    Habs heute installiert und läuft. Werden ja ne menge Sicherheitslücken gepatcht. Danke für Deiner Arbeit und den tollen Blog.

    1. Thorsten Sult

      Hi, danke für Deinen Kommentar und danke für die Rückmeldung. Ich gebe mir Mühe!

  5. Erikson

    Wann wird NUTM-11173 denn behoben? Beim nächsten Update?

    1. Thorsten Sult

      Hi, danke für Deinen Kommentar. Das ist derzeit leider nicht bekannt. Ich vermute aber, dass es in der nächsten Firmware gefixt wird.

  6. Klaus E.

    Ich war sehr verwirrt, überall ließt man, dass man das Update nicht installieren soll. Aber das bezog sich ja nur auf die Version 2. Danke für den klärenden Beitrag. Ich werde jetzt wohl öfters hier vorbei kommen. Lieben Gruß

Schreibe einen Kommentar