Sophos XG SFOS 18 MR-3 verfügbar…

Sophos hat SFOS 18 MR-3 für die XG Firewall bereit gestellt. Das lang ersehnte Update steht im Sophos Licensing Portal zum Download bzw. zur Installation bereit. Es beinhaltet einige Sicherheitsverbesserungen wie z.B. die Härtung des Secure Storage Master Key, sowie die granulare Option zur Konfiguration der Captcha Authentifizierung via CLI.

Weiterhin gibt es Erweiterungen bezgl. VPN Remote Access und AWS/ Azure/ Nutani. Die neueren AWS-Instanzen werden nun auch unterstützt. Auch die zentrale Verwaltung sowie die zentralen Firewallberichte wurden optimiert. Nähere Informationen dazu erhaltet Ihr in der Sophos Community.

Bezüglich des Userportals wurde auch noch CVE-2020-17352 gefixt, welche als kritisch eingestuft ist. Hier noch die Liste der Fehlerbehebungen in SFOS 18 MR-3:

NC-58229 [Authentication] Sophos AV and Avira AV Pattern updates failing
NC-51876 [Core Utils] Weak SSHv2 key exchange algorithms
NC-58144 [DNS] XG self reporting its own lookups in ATP causing flood of events
NC-54542 [Email] Email banner is added to incoming emails
NC-59396 [Email] Blocked senders are able to send the mails
NC-58159 [Firewall] Unable to ping the external IPs from auxiliary appliance console
NC-58356 [Firewall] Direct proxy traffic doesn't work when RBVPN is configured.
NC-58402 [Firewall] Firewall reboots randomly.
NC-59399 [Firewall] ERROR(0x03): Failed to migrate config. Loading default.
NC-60713 [Firewall] Userportal hotspot voucher config gets timeout
NC-60848 [Firewall] HA cluster both nodes rebooting unexpectedly
NC-59063 [Firmware Management] Remove expired CAs from SFOS
NC-44455 [HA] System originated traffic is not flow from AUX when SNAT policy configured for system originated traffic
NC-62850 [HA] Filesystem oddity in /conf
NC-58295 [IPsec] Dropped due to TLS engine error: STREAM_INTERFACE_ERROR
NC-58416 [IPsec] IKE SA Re keying won't be re-initiate itself after re-transmission time out of 5 attempts 
NC-58499 [IPsec] Sophos Connect Client ”IP is supposed to be added in the “##ALL_IPSEC_RW “
NC-58687 [IPsec] IPsec tunnel not getting reinitiated after PPPoE reconnect
NC-58075 [Netflow/IPFIX] Netflow data not sending interface ID
NC-55698 [nSXLd] Not able to add new domain in custom category
NC-62029 [PPPoE] PPPoE link does not reconnect after disconnecting
NC-57819 [RED] XG Site to Site RED Tunnel disconnects randomly also with MR10 and v18
NC-60240 [RED] Interfaces page is blank after adding SD-RED60 with PoE selected
NC-61509 [RED] RCA s2s red tunnel static routes disappear on FW update
NC-62161 [RED] RED connection with device becomes unstable after upgrading to v18.0 MR1 from v17.5 MR12
NC-59204 [SFM-SCFM] Task queue pending but never apply with XG86W appliance
NC-60599 [SFM-SCFM] Task queue pending but never apply due to no proper encoding
NC-62304 [SFM-SCFM] The notification e-mail sent from the XG displays the wrong Central Administrator
NC-61956 [UI Framework] WebAdmin Console and User Portal not accessible because space in certificate name
NC-62218 [UI Framework] Post-auth command injection via User Portal 1/2 (CVE-2020-17352)
NC-62222 [UI Framework] Post-auth command injection via User Portal 2/2 (CVE-2020-17352)
NC-58960 [Up2Date Client] HA: IPS service observed DEAD
NC-59064 [Web] Appliance goes unresponsive : Awarrenhttp high memory consumption
NC-60719 [WebInSnort] DPI engine causing website to intermittently load slowly

Übrigens ist ein Upgrade von v17.5 MR13/ MR14/ MR14-1 auf v18 MR-3 möglich. Haltet Euch in der Community auf dem Laufenden und schaut Euch die Know Issues an. Solltet Ihr weitere Fragen haben, dann hinterlasst einen Kommentar oder schreibt mir eine E-Mail.

Dieser Beitrag hat 8 Kommentare

  1. Jonas

    Ist beim dem Update von Mr14-1 auf die 18 etwas zu beachten? Oder reicht ein Backup der Konfig?

    Wie mache ich das Update beim einem HA?

    1. Thorsten Sult

      Hi Jonas,

      danke für Deinen Kommentar. In den Releasenotes unter https://docs.sophos.com/nsg/sophos-firewall/18.0/releasenotes/en-us/nsg/sfos/releaseNotes/rn_UpgradeInformation.html steht eine Tabelle. Du kannst jedenfalls von 17.5 MR14.1 auf 18 MR3 migrieren. Lies einfach das Dokument.

      Hier noch der Hinweis bei HA:

      HA: SFOS 18.0 moved to SSH tunnel-based secure communication for the HA cluster. If you’re upgrading the HA cluster to 18.0 or later, both the devices in the cluster will reboot simultaneously once. You’ll receive an alert on the UI before you can proceed.

  2. fat-amie

    Hey Thorsten, machst Du überhaupt noch viel Sophos, jetzt, wo Du den AG gewechselt hast?

  3. Jonas

    Ich habe nun das Update von der 17.5 MR14.1 auf die 18.0.3 MR3 im HA gemacht und nach ca. 10-15 Minuten war alles erledigt.

      1. Jonas

        Wie gewonnen, so…
        Ich habe heute nach 3 Internetausfällen ein Rollback gemacht.
        Mein ISP, die Stadtwerke Neumünster, konnte nicht bestätigen das eine Internetstörung vorliegt und somit musste ich den Rückweg antreten.
        Leider hat er beim Rollback die Lizenzen entsorgt und nun muss ich auf den Dienstleister warten der uns die Anlage verkauft hat.

        1. Thorsten Sult

          Hey Jonas, das tut mir leid für Euch. In der Community gibt es folgenden Hinweis: „Hello Jindrich,

          I can see you opened a case with Support following this.

          It seems like your issue was not related to MR3 but rather an issue with licensing, this issue was fixed after disabling HA, and resyncing the license.“

Schreibe einen Kommentar