Sophos UTM 9.704-2 verfügbar…

Sophos hat die Firmware UTM 9.704-2 auf dem FTP-Server veröffentlicht. Ihr könnt die Updatedatei u2d-sys-9.703003-704002.tgz.gpg verwenden, um die Firmware manuell zu installieren. Voraussetzung ist, dass Ihr bereits auf UTM 9.703-3 seid. Bei UTM 9.704 handelt es sich um ein Wartungsupdate, welches ca. 200 MB groß ist.

Mit der Firmware werden sehr viele Sicherheitslücken gepatcht. Unter anderem CVE-2018-17985 in binutils, CVE-2020-8616 und CVE-2020-8617 in BIND, CVE-2019-1547, CVE-2019-1551 und CVE-2019-1563 in OpenSSL und CVE-2019-3701, CVE-2019-15916 (high risk), CVE-2019-20096, CVE-2020-8647, CVE-2020-8648, CVE-2020-10942 und CVE-2020-11494 im UTM Kernel.

Das DFN-Cert hat hierzu auch folgenden Advisory erstellt: 2020-1729: Sophos UTM: Mehrere Schwachstellen ermöglichen u. a. verschiedene Denial-of-Service-Angriffe. Die Lücken sind also nicht unkritisch.

Nachdem Ihr das Update installiert habt, startet die SG einmal neu. Angeschlossene REDs führen anschließend ein Upgrade durch und rebooten. Anbei die Liste der Fehlerbehebungen:

NUTM-11829 [Access & Identity] L2TP connections fail when many users are connected
NUTM-11928 [Access & Identity] Hardening of Authentication Server configuration page
NUTM-11559 [Basesystem] Update i40e driver
NUTM-11966 [Basesystem] Patch binutils (CVE-2018-17985)
NUTM-11982 [Basesystem] Patch BIND (CVE-2020-8616, CVE-2020-8617)
NUTM-12007 [Basesystem] Patch OpenSSL 1.0.2j (CVE-2019-1547, CVE-2019-1551, CVE-2019-1563)
NUTM-12041 [Basesystem] Patch UTM kernel (CVE-2019-3701, CVE-2019-15916, CVE-2019-20096 CVE-2020-8647, CVE-2020-8648, CVE-2020-10942, CVE-2020-11494)
NUTM-11664 [HA/Cluster] Error message "send_ha_msg(ECHO_MASTER): sendto(255) errno = 22"
NUTM-11113 [Logging] Log archiving to SMB share fails to connect
NUTM-11846 [Network] Add confd option to enable multicast for IGMP
NUTM-11849 [Network] Syslogng fails to write if max concurrent connections is reached
NUTM-11936 [Network] DNS host object not updated/unresolved after fail-over
NUTM-11938 [Network] Unable to save the new profile in SSLVPN, it gives error "Warn: Client authentication cannot use more than 170 user and group networks at the same time"
NUTM-11779 [RED] RED site-to-site tunnel failover doesn't always work
NUTM-11886 [RED] RED server restart notification sent from auxiliary node
NUTM-12040 [RED] RED20 is not forwarding tagged traffic like RED15
NUTM-12134 [RED_Firmware] Improve throughput for SD-RED WiFi
NUTM-12135 [RED_Firmware] Enable 802.11ac for SD-RED WiFi
NUTM-11972 [REST API] REST API: Invalid response on GET query for S/MIME component
NUTM-11681 [Sandstorm] Sandbox Activity tab uses the incorrect date formatter
NUTM-11685 [WAF] Let's Encrypt renewal fails with HTTP->HTTPS redirection for IPv6 vhost
NUTM-11925 [WAF] WAF redirects some requests to the first domain of the virtual webserver
NUTM-11388 [Web] Httpproxy restarted due to segmentation fault and generated core dump
NUTM-11577 [Web] WebProxy not reliably deleting cached temp files
NUTM-11841 [Web] Proxy crash with coredump

Weitere Informationen erhaltet Ihr in der Sophos Community. Solange sich die Firmware in Rollout Phase 1 befindet, solltet Ihr es noch nicht produktiv verwenden. Habt Ihr weitere Fragen, dann hinterlasst einen Kommentar oder schreibt mir eine E-Mail.

Update: Artikel wurde um den Link zu DFN-Cert aktualisiert! Außerdem führen angeschlossene APs kein Firmwareupdate durch, wie zunächst im Artikel behauptet (my bad, sorry).

Update: Das Update hat einen Fehler in Bezug auf Accesspoints. Sophos hat vergessen, die WiFi-SSID-Überprüfung in Zeile 24 von /usr/bin/wifi_pdog.sh in Anführungszeichen zu setzen. Somit werden WiFi-Netzwerke mit Leerzeichen im Namen fälschlicherweise als nicht aktiviert markiert. Das Skript startet die WiFi-Schnittstellen alle 2 Minuten neu. Das Hinzufügen der Anführungszeichen im Skript funktioniert leider nur bis zum Reboot der UTM. Der Workaround besteht also erstmal darin, alle SSIDs ohne Leerzeichnen zu versehen. Weiterführende Informationen findet Ihr in diesem Advisory: Sophos UTM 9.704 (AP Firmware 11.0.013) – Wireless networks periodically going up and down.

Update: Sophos UTM 9.705-3 wurde veröffentlicht.

Dieser Beitrag hat 23 Kommentare

  1. P. Insel

    Hi Thorsten,

    es gibt keinen Artikel in der Community für UTM 9.704. Woher hast du die Informationen?

    1. Moin! Das Update lag heute Mittag auf dem FTP. Die Infos zeigt ja die utm an, nachdem man das Update hochgeladen hat. Ich habe nur schonmal auf die Kategorie verlinkt, in der Hoffnung, dass der Artikel heute noch erscheint. 😉

  2. fat-amie

    Konntest Du es schon testen? Gibt es schon Neuigkeiten, ob das Update Fehler hat.

    1. Moin! Nein, ich hab das Update gestern nur installiert und mehr nicht. Ich kümmere mich vermutlich nächste Woche darum. Falls mir was auffällt, aktualisiere ich den Artikel.

  3. DasSchrecklicheWiesel

    Hi, muss man eigentlich noch die RED – Schnittstellen vor dem Update deaktivieren oder ist die Gefahr mittlerweile gebannt ?

    1. Hi, mit der 9.703 wurde der Fehler bezgl. Red behoben. Warte aber trotzdem, ob Fehler bekannt werden! Auf welchem Stand bist Du z.Z.?

  4. Klaus 3.

    Mensch, hier werden ja jede menge CVEs gefixt. Hätte nicht gedacht, dass noch ein Update vor der nächsten Beta kommt. Übrigens weißt Du wann 9,8 kommtt?

    1. Hi, danke für deinen Kommentar. UTM 9.8 Beta wird vermutlich im September/Oktober 2020 kommen.

      1. Klaus 3.

        Hprt sich gut an. Danke. Wie geht es denn überhaupt mit UTM weiter? Soll doch durch XG ersetzt werden.

        1. Also was ich gehört habe ist, dass UTM seit letztem Monat auf der Abschußliste steht. Im kommenden Jahr wird wohl ein eof verkündet. Sophos hätte das wohl schon eher gemacht, es gab bzw. gibt aber noch zu viele Probleme mit XG. Außerdem ist UTM auf dem deutschen Markt sehr groß.

  5. Anonymous

    Danke für den sehr ausführlichen Artikel. Also solange XG kein Lets Encrypt kann, werde ich mich damit nicht beschäftigen und weiter mit den SGs machen. Ich werde mit XG einfach nicht warm.

    1. Thorsten Sult

      Hi, danke für deinen Kommentar. Dass XG le noch nicht anbietet, kann kein Grund sein, sich nicht damit zu beschäftigen. Mit SFOS 18 ist die Config um ein Vielfaches besser geworden. Solltest du vielleicht mal ausprobieren.

      1. Jonas

        Kann man/sollte man die Version 18 als Produktivsystem schon einsetzen?

        1. Thorsten Sult

          Moin Jonas,

          danke für Deinen Kommentar. SFOS 18 ist bereits GA und kann demnach produktiv eingesetzt werden.

  6. BT

    Hallo zusammen,

    bei uns führte das Update dazu, dass unsere APs (AP55C & AP100C) freidrehen und somit permanent WLAN Abbrüche zu beobachten sind. Habe dieses Verhalten auch schon von anderen berichtet bekommen. Gibt wohl auch schon ein Ticket bei Sophos. Ich würde von einer Installation aktuell abraten!

    VG Björn

    1. Moin Björn,

      vielen Dank für die Info. Lässt sich das Problem beheben, wenn man die APs neu in die Config hängt?

  7. BT

    Hallo Thorsten,
    das habe ich nicht getestet. Jedoch gab es keine Probleme, als ich 2 neue Test-SSIDs aufgesetzt habe und die alten deaktiviert habe. Sobald ich die „alten“ SSDIs wieder reaktiviert habe, ging der Spaß wieder los und hat das Log anschwillen lassen. Ein Downgrade auf die 9.703-3 hat das Problem letztlich behoben und die Netze sind alle ohne Probleme nutzbar. Scheint aber auch nur mit den genannten APs Probleme zu geben.

    VG Björn

  8. Anonymous

    Hallo,

    ich beobachte seit dem Update auf 9.704-2 (AP 11.0.013) einen massiven Geschwindigkeitsverlust im Download auf allen WiFi-Interfaces (Download max 3 Mbit/s). Physikalische Probleme konnte ich ausschließen.

    Kann sich jemand dieses Verhalten erklären?

    1. BT

      Hallo,
      wir hatten hier auch ganz schön Probleme mit den verbauten APs. Zudem haben die Geräte regelmäßig die Verbindung verloren und die Last auf der UTM ist um das doppelte angestiegen. Schau dir mal genauer das wireless log an, da wirst du bestimmt fündig.

        1. BT

          Super, danke für den Hinweis!

Schreibe einen Kommentar