Neue Updates für Sophos UTM (9.510-5)

Sophos hat heute zwei neue Update Pakete für die UTM veröffentlicht. Das ursprüngliche Update auf die Version 9.510-4) wurde zurückgezogen und steht nicht mehr zum Download bereit. Nutzer der Version 9.510-4 können jetzt auf Version 9.510-5 aktualisieren (zweiter Downloadlink), in dieser Version soll nun auch der Bug in der Mail Protection bezüglich der TLS Aushandlung behoben sein. Nutzer der der Version 9.50 können den ersten Link verwenden:

Hier noch eine Liste der behobenen Probleme (beinhaltet auch die Fixes aus Version 9.510-4):

  • NUTM-8273 [Basesystem] Inconsistent reporting data in hot standby environment
  • NUTM-9089 [Basesystem] ulogd restarting randomly
  • NUTM-9423 [Basesystem] Missing DMI info or missing WiFi card should turn status LED red for desktop refresh models
  • NUTM-9516 [Basesystem] CVE-2017-3145: BIND vulnerability
  • NUTM-9764 [Basesystem] multiple NTP vulnerabilities
  • NUTM-9862 [Basesystem] CVE-2018-8897: Don ‘t use IST entry for #BP stack
  • NUTM-9944 [Basesystem]  ‘ethtool -p ‘ is not working for shared port
  • NUTM-9945 [Basesystem] SG/XG 125/135 upper 4 ports LEDs at front and rear side not behaving as expected
  • NUTM-9286 [Email] CVE-2011-3389: SSL/TLS BEAST Vulnerability And Weak Algorithms
  • NUTM-9460 [Email] Quarantine unscannable and encrypted content not working as expected
  • NUTM-9539 [Email] SMTP callout with TLS does not work
  • NUTM-9627 [Email] Parent proxy for WAF (ctipd) not applied without active e-mail subscription
  • NUTM-9771 [Email] Redesign TFT detection to decrease false positives/negatives
  • NUTM-9836 [Email] HSTS usage breaks Quarantine Report release link
  • NUTM-10124 [Email] TLS Errors – renegotiation not allowed
  • NUTM-9789 [Logging] Not able to archive logs using SMB share
  • NUTM-8969 [Network] Inconsistent DHCP leases in WebAdmin
  • NUTM-9049 [Network] Cannot change IPv4 interface as IPv6 gateway is required
  • NUTM-9194 [Network] Static route switching to different VLAN
  • NUTM-9646 [Network] eth0 is falsely marked  “dead “ when running  “hs “ on slave
  • NUTM-9739 [Network] Network monitor restarting on slave nodes
  • NUTM-9795 [RED] RED50 issue with large packets in Transparent/Split mode
  • NUTM-9607 [Reporting] Upper case umlauts in PDF Executive Reports are not displayed correctly
  • NUTM-9624 [Reporting] WAF – Top attackers won ‘t be displayed after upgrade to v9.5
  • NUTM-10118 [Reporting] Authenticated Remote Code Execution in WebAdmin
  • NUTM-9719 [SUM] Web Protection service shown as down in SUM
  • NUTM-9547 [UI Framework] UserPortal does not correctly detect browser specified preferred language for Chinese Simplified
  • NUTM-9527 [WAF] Fix mod_url_hardening stack corruption
  • NUTM-8038 [WebAdmin] WebAdmin not available
  • NUTM-9232 [WebAdmin] Sometimes  ‘backend connection failed ‘ while login
  • NUTM-9529 [WebAdmin] Role with  ‘Web Protection Manager ‘ rights can ‘t access Aplication Control
  • NUTM-9689 [WebAdmin] Report Auditor role is unable to open the dashboard
  • NUTM-5293 [Web] Google is missed in the Search Engines reports
  • NUTM-6240 [Web] FTP download through HTTP Proxy in standard mode not possible
  • NUTM-9039 [Web] Connections may fail when using upstream proxies due to  “Proxy-Connection “ header being sent
  • NUTM-9399 [Web] Classification for Windows Updates differs between AFC and conntrack
  • NUTM-9413 [Web] Unable to upload certificate to  “Local Verification CAs “
  • NUTM-9491 [Web] HTTP Proxy coredumps with SIGABRT
  • NUTM-9549 [Web] Proceeding after content warning results in display issues on redirected pages
  • NUTM-9599 [Web] HTTP Proxy requests stuck without appropriate timeout
  • NUTM-9630 [Web] Fallback log flooded with samlogon cache timeout messages
  • NUTM-9664 [Web] Country blocking exception not working when HTTP Proxy is using SSO
  • NUTM-9720 [Web] Can ‘t proceed content warning for MIME types if URL contains spaces
  • NUTM-9745 [Web] HTTP Proxy coredumps with SIGSEGV
  • NUTM-7628 [Wireless] Wireless clients frequently failing to connect with STA WPA failure reason code 2
  • NUTM-8946 [Wireless] APs displayed as inactive in WebAdmin while clients can connect
  • NUTM-9591 [Wireless] Both local WiFi using 2.4GHz band and same channel in default configuration
  • NUTM-9592 [Wireless] Unable to broadcast same SSID on both LocalWifi0 and LocalWifi1
  • NUTM-9594 [Wireless] Incorrect channel information showing on overview for LocalWifi
  • NUTM-9608 [Wireless] Incorrect generic error message in WebAdmin while configuring band for wireless network
  • NUTM-9638 [Wireless] Both local WiFi AP named  ‘Local ‘
  • NUTM-9731 [Wireless] Not able to configure channel 12 and 13 on newer desktop models
  • NUTM-9735 [Wireless] Set default channel width to 40MHz for 5GHz band
  • NUTM-9737 [Wireless] SGw appliances missing frequency definitions for Nigeria

Leider gab es mit den letzten Updates immer wieder Probleme, daher sind ausgiebige Tests und ein Backup vor Installation Pflicht.

Das Update wird via Update2Date verteilt, es kann aber auch manuell runtergeladen und eingespielt werden:

Neues Update für Sophos UTM (9.510-5)

20 Gedanken zu „Neue Updates für Sophos UTM (9.510-5)“

  1. es ist wohl gerade wieder ein neues update raus gekommen…

    Up2Date 9.580007 package description:

    Remarks:
    System will be rebooted
    Configuration will be upgraded
    Connected APs will perform firmware upgrade
    Connected REDs will perform firmware upgrade

    News:
    Beta Release

    Bugfixes:
    Fix [NUTM-9368]: [Access & Identity] SSL VPN: optional user auth not working
    Fix [NUTM-9525]: [Access & Identity] Disk filling up with argos error messages in endpoint.log
    Fix [NUTM-10128]: [Access & Identity] MDW waits hours for lock on shared cache with AUA
    Fix [NUTM-9783]: [Basesystem] IPsec routing issue if gateway interface has additional addresses
    Fix [NUTM-9810]: [Basesystem] IPset Object takes 30 seconds to update after SSL VPN connection was established
    Fix [NUTM-9860]: [Basesystem] Selfmon trying to start DHCP even when not in use
    Fix [NUTM-10366]: [Basesystem] Missing IP address in IPset of user network for STAS
    Fix [NUTM-10226]: [Email] Can’t release POP3 messages due to URL in User Portal
    Fix [NUTM-10181]: [Network] Remove DNSdynamic from available dynamic DNS providers
    Fix [NUTM-10307]: [Network] ATP exception still working after deletion
    Fix [NUTM-10337]: [Network] High CPU load by AFCd when hotspot is enabled
    Fix [NUTM-9795]: [RED] RED50 issue with large packets in Transparent/Split mode
    Fix [NUTM-10197]: [RED] All REDs disconnect intermittently
    Fix [NUTM-10227]: [RED] Offline provisioning does not work
    Fix [NUTM-10303]: [RED] Unified FW: split networks does not work
    Fix [NUTM-10060]: [Reporting] ATP alerts / events not deleted after three days
    Fix [NUTM-10201]: [Reporting] Unable to download S/MIME internal user certificate
    Fix [NUTM-10352]: [Sandstorm] Sandstorm Activity Report table and graph do not show same data
    Fix [NUTM-10367]: [Sandstorm] Sandstorm Activity Graph does not include email cached results
    Fix [NUTM-2644]: [UI Framework] Webadmin prefetching list box not displaying any users, if one user contains a single tick
    Fix [NUTM-10315]: [WAF] Let’s Encrypt can’t be enabled after upgrade from 9.5 (/etc/ssl/certs not accessible)
    Fix [NUTM-10316]: [WAF] Let’s Encrypt certificates allow wildcards in domain name list
    Fix [NUTM-6945]: [WebAdmin] Popup too small for secret when deleting SHA512 OTP token
    Fix [NUTM-7381]: [WebAdmin] Login to UserPortal only works at second try when using RADIUS authentication
    Fix [NUTM-9424]: [WebAdmin] Webadmin session interrupted with pop-up „Backend connection failed“
    Fix [NUTM-10188]: [WebAdmin] [OTP] QR code not visible for the first user login
    Fix [NUTM-10214]: [WebAdmin] Breach Vulnerability in WebAdmin (CVE-2013-3587)
    Fix [NUTM-9676]: [Web] HTTP Proxy out-of-memory segfault / HTTP Proxy stops working with „Avira engine not available“
    Fix [NUTM-9854]: [Web] Warning page bypass using crafted URLs
    Fix [NUTM-9873]: [Web] File blocked due to MIME type detection even if there is an exception
    Fix [NUTM-9956]: [Web] HTTP Proxy coredumps in geoip scanner
    Fix [NUTM-10200]: [Web] Segfault in libc-2.11.3.so
    Fix [NUTM-10284]: [Web] HTTP Proxy crash with coredumps

    RPM packages contained:
    ddclient-3.8.2-38.ge0500f2.rb4.noarch.rpm
    oculusd-1.0.0-0.300531135.gecb0983.rb3.i686.rpm
    oculusd-dlz_oculus-1.0.0-0.300531135.gecb0983.rb3.i686.rpm
    oculusd-highmem-1.0.0-0.300531135.gecb0983.rb3.i686.rpm
    oculusd-lowmem-1.0.0-0.300531135.gecb0983.rb3.i686.rpm
    red-unified-firmwares-9600-0.304178885.g2682d15.rb1.i586.rpm
    ep-reporting-c-9.60-279.g99285f4.rb1.i686.rpm
    ep-aua-9.60-29.g25f6543.rb2.i686.rpm
    ep-branding-ASG-afg-9.60-68.g5375bf4.rb8.noarch.rpm
    ep-branding-ASG-ang-9.60-68.g5375bf4.rb8.noarch.rpm
    ep-branding-ASG-asg-9.60-68.g5375bf4.rb8.noarch.rpm
    ep-branding-ASG-atg-9.60-68.g5375bf4.rb8.noarch.rpm
    ep-branding-ASG-aug-9.60-68.g5375bf4.rb8.noarch.rpm
    ep-confd-9.60-1295.g1549cac9.i686.rpm
    ep-endpoint-0.5-0.298655469.gd9d0770.rb4.i686.rpm
    ep-mdw-9.60-1056.gf413cc1e.rb7.i686.rpm
    ep-red-9.60-29.ga75db6c.rb4.i686.rpm
    ep-webadmin-9.60-1095.g7309dc2bb.i686.rpm
    ep-webadmin-contentmanager-9.60-50.g1ee6cc4.rb7.i686.rpm
    ep-chroot-afc-9.60-2.gcc9e1c2.rb2.noarch.rpm
    ep-chroot-dhcps-9.60-8.g0c3d11d.rb3.noarch.rpm
    ep-chroot-httpd-9.60-26.g4b22fb7.rb2.noarch.rpm
    chroot-afc-9.60-4.g7b5586f.rb3.i686.rpm
    ep-httpproxy-9.60-318.gb1669c05.rb6.i686.rpm
    ep-release-9.580-7.noarch.rpm

    Antworten
  2. Die aktuelle 9.510-5 hat einen weiteren Fehler. Zertifikate können nicht exportiert werden. Sowohl in der Mail Security. als auch Benutzer Zertifikate werden nicht heruntergeladen.
    Die Update Qualität ist momentan mehr als mäßig.

    Antworten
  3. Interessant, was Wolfgang Ströhlein da schreibt. Wir nutzen den SMTP Proxy mit Report auch, könnte man sowas mit der WAF von http auf https umschreiben lassen (nutzen wir auch) oder greift die WAF nicht bei den Systemdiensten der Maschine?

    Antworten
  4. Update zu meinem Kommentar vom Freitag:

    Mail-Quarantäne Reports enthalten richtigen Link (https*) seit diesem Update – Reports vor dem Update verlinkten aber auf http. Somit haben alle Benutzer, welche im Urlaub waren das Problem nicht mehr an die Quarantäne zu kommen… Eben nur durch manuelles Editieren des Links. Evtl. wäre hier hilfreich ein Redirect auf der Firewall. Grundsätzlich begrüssenswert, dass die Release-Links auf https gestellt wurden – aber halt schlecht für die „User Experience“.

    Antworten
  5. Hallo,
    wir nutzen die Mail-Quarantäne. Die hier generierten Reports enthalten seit dem Update einen falschen release-Link. Offenbar wurde der Release-Daemon (läuft auf Port 3840) durch das Firmware-Update auf https umgestellt…. aber die Release Links in den automatisch generierten Quarantäne Reports nicht.
    Ist natürlich super für alle Endanwender – die klicken jetzt auf release und dann kommt vom Browser „Website nicht gefunden“ – ECHT DOLL!
    Call ist bereits eröffnet. M.E. kleine Ursache große Wirkung – beim Endanwender kommen solche schludrigkeiten nicht gut an … klickt da keiner in der Qualitätssicherung auf den release link?

    Antworten
  6. Ich habe leider das gleiche Problem: Mailmanager sagt im Firefox „Invalid Request“.
    Via IE funktionierts mit aktueller Java Version (8Upd181).
    Ist wirklich ärgerlich!

    Antworten
  7. Mail Manager in diesem Update lässt sich mit Safari nicht mehr öffnen – Invalid Request! Unter Windows nur mit aktueller Java Umgebung. So ein Ärger !

    Antworten
  8. …ok lag nicht direkt am Update. Das Update hat mir die postgresql92 zerschossen. Musste diese über die Shell neu anlegen. Dennoch unschön…

    Antworten
  9. nach einer frischen Reinstall der UTM mit ISO 9.503 und dem anschließendem einspielen des Backups lief die Kiste. Anschließend mit dem 170MB Update Packet konnte ich auch erfolgreich auf die 510-5 updaten.
    Aber für die produktiven Updates warte ich mal noch ein wenig.

    Antworten
  10. bei mir im Lab kam meine UTM nicht mehr saube rhoch nach dem Update.
    hab von 9.510-4 auf die -5 geupdated.
    Nach dem Reboot war die UTM noch pingbar. Das Regelwerk ging nur Teilweise, Inet Acces ging noch, der rest nicht mehr.
    Des weiteren bin ich anschließend weder per Web noch per SSH auf die UTM gekommen.
    Über die lokale Konsole sah auf den ersten Blick alles gut aus. Anschließend hab ich die UTM neu aufgesetzt und das zuvor erstellte Backup aus der -4 wieder eingespielt. Ich werde es am Wochenende nochmal neu versuchen….

    Antworten
  11. Danke Robert,
    ich glaube Münchner Sicherheitsfirmen (R&S) haben auch „Paolo Alto“ …
    gut das ich von denen 3 Aktien habe … mal sehen ob Trump mit seinen Investments in die Rüstungsindustrie die Kurse auch bei der Sicherheit zum laufen bringt. ;-) …

    Antworten
  12. @Carsten,
    bei den anderen Herstellern schaut es nicht unbedingt besser aus.
    Als Alternative zur „Sophos“ gibt es z.B. noch „Palo Alto Networks“ letztendlich sind die aber alle bis auf „Kleinigkeiten“ gleich.

    Antworten
  13. … das Zurückziehen von Updates erscheint nicht gerade vertrauenserweckend.

    Gibt es was „besseres“ wie Sophos?
    Bei anderen Firewalls habe ich vermutlich nicht mitbekommen, das fehlerhafte Updates ausgeliefert werden

    Antworten
  14. Nutzer, die die Firmware Version 9.510-4 mit aktivierter Websurf Protection einsetzen und die Hotfix Firmware Version 9.510-5 einspielen möchten, müssen eventuell die Websurf Protection (Ausnahme erstellen für „http://download.astaro.de“) anpassen. Hintergrund ist, dass die Websurf Protection die 13 MB große Datei (u2d-sys-9.510004-510005.tgz.gpg) unter umständen („File was encrypted“) blockieren kann.

    Der Download der Datei (erster Link) stellt keine Probleme dar.

    Gruß,
    Jonas

    Antworten

Schreibe einen Kommentar