Sophos hat neues Update für die UTM 9.6 veröffentlicht, welches die Versionsnummer auf 9.605-1 anhebt. Die folgenden Probleme wurden behoben:
- [NUTM-10885]: [Basesystem] Fallback log flooded since update to 9.6
- [NUTM-10667]: [Email] Emails are not being processed, have „Stale ID in DB“ in debug log
- [NUTM-10870]: [Email] UTM not rejecting emails with dot at the end of the local part address
- [NUTM-10809]: [RED] Offline provisioned RED15 loses their config in case of UTM reboot
- [NUTM-10812]: [RED] RED can’t connect to UTM if it is configured in transparent/split mode and a DNS name as UTM hostname
- [NUTM-10903]: [RED] Transparent/split: DNS does not work if the gateway and DNS server are different but in the same network
- [NUTM-10962]: [RED]for RED50 does not start up after firmware update for most scenarios
- [NUTM-10636]: [Reporting] Executive report not accurate – missing SSL VPN sessions
- [NUTM-10877]: [Sandstorm] Sandbox Activity in Webadmin does not show all activities since 9.6
- [NUTM-10822]: [WAF] Privilege escalation from modules‘ scripts (CVE-2019-0211)
- [NUTM-10823]: [WAF] URL normalization inconsistency (CVE-2019-0220)
- [NUTM-10886]: [WAF] All HTTP requests are forwarded to HTTPS
- [NUTM-10978]: [WAF] reverseproxy.log does not show requested domain
- [NUTM-10986]: [WAF] HTML rewriting in large embedded CSS leaks memory
- [NUTM-10705]: [WebAdmin] Potential User Portal session cookie hijacking
- [NUTM-10862]: [WebAdmin] After updating to 9.6 read only admins cannot see advanced tabs
- [NUTM-10941]: [WebAdmin] Webadmin not accessible when user prefetch is running
- [NUTM-10952]: [WebAdmin] HTTPS pages sporadically no longer work with transparent proxy since 9.602
- [NUTM-10748]: [Web] Proxy restarted httpproxy.DeferredExpire
- [NUTM-10792]: [Web] Follow up: New Web Templates for content warn does not work in 9.6
- [NUTM-10802]: [Web] HTTPS websites are not accessible through http proxy if you follow the BSI recommendation regarding TLS
- [NUTM-10816]: [Web] Blockpage font rendered incorrectly in Firefox
- [NUTM-10876]: [Web] Web Proxy blocks range requests since 9.6
- [NUTM-10895]: [Web] Video from NEST CAM constantly loading
- [NUTM-10985]: [Web] HTTP proxy is getting crashed with segfault and core dump
Falls das Update noch nicht angezeigt wird, kann es hier manuell runtergeladen werden:
Das Update liefert leider keine neue Funktionen nach, sondern behebt nur die angegebenen Probleme. Da es in der Vergangenheit arge Probleme mit den AccessPoints und den RED-Devices gab, sollte dieses Update zunächst sorgfältig getestet werden. Ein Backup ist bei Sophos Updates Pflicht.
Eingespielt auf SG 210 mit RED15 und RED15w.
RED 15 baut keinen Split Tunnel mehr auf – Handshake schlägt fehlt. Im Unified Modus verbindet sie sich aber auch nur da. Offenbar passiert dies auch bei anderen im englischen Sophos Forum.
Die RED15w macht seit dem Update im WLAN eine Client Isolation obwohl diese ausgeschaltet ist. Neu-Konfigurierung brachte bisher leider keinen Erfolg.
Unsere SG230 mit HA und RED50 trau ich mich schon seit Monaten nicht mehr auf den aktuellsten Stand zu bringen da es bei uns bisher immer geknallt hat und ein Rollback nötig war.
Hey Dennis, hey Andreas,
bei uns habe ich die tote RED50 mit use_unified_firmware =0 nicht mehr ans Leben bekommen. Per RMA eine neue erhalten – Firmware Einstellung auf =0 gelassen. Diese in Betrieb genommen und geht wieder. Jetzt bei Infinigate angefragt ob diese Einstellung wieder zurückgesetzt werden kann – noch keine Antwort. Aber ich befürchte im MOment wahrscheinlich nicht. Die anderen REDs gehen alle problemlos.
Ingo
Hi Ingo,
ich würde das auf jeden Fall auf 0 lassen! keine Ahnung was diese unified Firmware bewirken soll, aber Einschränkungen gibts keine. ich vermute mal, dass es ein Versuch ist die XG in die UTM zu integrieren.
nach der Anpassung sollte die RED eigentlich normal starten und sich eine Firmware ziehen.
bisher hat das überalle geklappt. wenn nicht, bleibt leider nur der RMA Weg .. richtig.
Grüße
Hey Dennis,
einen Link habe ich leider nicht, aber ich kann dir erklären wie es geht.
Zuerst die betroffene RED ausschalten, dann per SSH auf die UTM und testen ob die Firmware überhaupt auf unified steht (nach jedem Schritt Enter drücken):
cc
red
use_unified_firmware$
wenn das auf 1 steht dann als root die Firmware auf 0 setzen
cc
red
use_unified_firmware
=0
danach die RED wieder einschalten.
mit „tail -f /var/log/red.log“ kannst du dann verfolgen obs auch klappt.
Grüße
Moin Andreas,
wie ist das Vorgehen mit der unified Firmware? Eine RED50 ist bei uns plötzlich ausgestiegen, Rev. 1 aus Oktober 2015 und es geht nix mehr. Display leuchtet durchgehend ohne etwas anzuzeigen.
Haben eine neue RED50 geholt, damit das Aussenlager (500km weit weg) wieder online ist.
Bin noch recht neu auf dem Gebiet mit Sophos UTM und RED, daher für jede Hilfe/Links etc. dankbar.
VG,
Dennis
Habe das Update letze Nacht installiert.
– SG330 HA Cluster
– 2x RED 15
Bisher keine Probleme.
das Update hat auf allen UTMs den SMTP Dienst gekillt, CPU war über 2 Tage bei 100%, danach hab ich die Postgre DB neu erstellen lassen, danach sind zwar sämtliche Statistiken weg und auch die SPX Kennwörter, aber dafür bekommt man wieder Mails.
per SSH folgenden Befehl eingeben: /etc/init.d/postgresql92 rebuild
außerdem hat es an einer UTM die angeschlossene RED50 wieder rausgeschmissen. das übliche Prozedere mit der unified Firmware hilft, danach ging es wieder.
ich installiere es aktuell nicht mehr, die SMTP Dienste sind zu wichtig, genau so wie die Statistiken.
Moin,
kann ich bestätigen – habe heute unsere SG330 seit dem Update durchgestartet.
Danach ging im Mailverkehr von und nach Extern nichts mehr, der Mail-Manager war ohne Inhalt (es war nur die Auswahlliste oben zu sehen):
Via SSH mit Root dann folgendes gemacht:
/etc/init.d/postgresql92 rebuild
und dann:
psql -Upostgres -c“reindex database smtp;“ smtp
psql -Upostgres -c“reindex database pop3;“ pop3
psql -Ureporting -c“reindex database reporting;“ reporting
psql -Upostgres -c“vacuum;“ smtp
psql -Upostgres -c“vacuum;“ pop3
psql -Ureporting -c“vacuum;“ reporting
nur mit /etc/init.d/postgresql92 rebuild hat es bei mir nicht funktioniert.
Nachdem Absetzen der anderen Befehle wurden die Mails wieder korrekt zugestellt und versendet.
Gleiches hier mit einem SG230 Active-Passive Cluster.
Weiß jemand hier das vorgehen?
Das die Statistiken weg sind ist es murks :/
Erweiterung zum Beitrag vom 02.08 –> Nach Telefonat mit Infinigate muss die RED50 nun per RMA getauscht werden! Tolle Leistung….. Filiale seit Freitag abgehängt – jetzt Fallback auf alten Router…. So etwas darf ich eigentlich im prof. Umfeld nicht passieren.
Ich habe gestern mehrere Kundensystem auf 9.605 aktualisiert, mit HA, ohne HA, SG115, SG115w, SG135w, SG210, SG230 und SG310, teilweise mit bis zu zehn RED10, RED15w, alles bisher ohne Probleme.
Site-to-Site-tunnel mit IPsec und SSL liefen danach auch alle einwandfrei.
Wir haben allerdings die Systeme mit RED50 bisher „aufgehoben“ und warten ab.
Nach dem Update kein S2S-VPN zischen FritzBox und UTM mehr.
Ein Update der FritzBox auf Version 7.12 hat es gebracht, danach ging der Tunnel wieder ohne Probleme.
Leider in Verbindung mit RED50 noch immer fehlerhaft! Eingespielt in 2 Umgebungen:
1. SG 230 mit RED 15 — ohne Probleme
2. SG 105 mit RED 50 — RED ist down, Dauerschleife Updatemodus
Und vor Ort (Filiale 600km) kein IT Personal :-((
Bei uns gab es bei 2/60 UTMs beeinträchtigungen.
Bei einer hat eine DNAT-Regel nicht mehr funktioniert. (AusschaltenEinschaltenGeht)
Bei der anderen hat eine RED das Firmwareupdate verschlafen. (Konfig des Tunnels ändern für ein Reprovisioning, dann startet das Update neu)
Habe das Update ebenfalls heute Nacht auf unserem SG230 HA-Cluster eingespielt.
VPN, WiFi, HTTP Proxy…auf den ersten Blick keine Probleme bei uns!
Update heute Nacht eingespieltauf einer SG230. Funktioniert soweit alles. Auch die Accesspoints,WAF und SSL-VPN funktionieren ganz normal. Bis jetzt also alles gut verlaufen.