Neu in Version 7.0.8
VPN: Integration von OpenVPN
Mit diesem Collax Update wurde die Unterstützung für OpenVPN über die Collax Administationsoberfläche integriert. Das Update der ISV-Anwendung OpenVPN 2.4.3 wird innerhalb des Systemupdates aktualisiert, sofern es zuvor installiert war. Für das Upgrade von 5.8.100 auf Version 7 muss das OpenVPN in 5.8.100 erst deinstalliert und unter 7.0.8 das neue Collax ACN installiert werden. Danach ist unter Konfigurationskontrolle die Aktion "Alles aktivieren" auszuführen. Weitere Infos finden Sie hier.
System-Management: Laufzeit einer CRL
Eine CRL (Certificate Revocation List) ist eine Sperrliste von Zertifikaten, die von einer CA unterschrieben wurden, aber vor Ende der Laufzeit zurückgezogen wurden. Für eine CA, die auf dem System verwaltet wird, kann die CRL im Dialog Benutzungsrichtlinien -> Zertifikate -> X.509-Zertifikate erzeugt werden. Die CRL wird dann von allen lokalen Diensten automatisch verwendet. Mit diesem Update wird die Laufzeit der CRL bei neu erzeugten CRLs auf 3650 Tage erhöht.
Behobene Probleme in Version 7.0.8
Security: Sicherheitslücken - Stack Clash
Sicherheitsforschern ist es gelungen, Sicherheitslücken auszunutzen und damit Code auszuführen. Diese Lücken wurden unter dem Namen Stack Clash veröffentlicht und werden mit diesem Software-Update geschlossen. Das Update beinhaltet die Integration diverser Patches für den Kernel und die C-Bibliothek glibc. Siehe auch hier.
Die Version bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):
CVE-2017-1000364 CVE-2017-1000365 CVE-2017-1000366 CVE-2017-1000367 CVE-2017-6891
Security: gepatchter Kernel 4.4.70
Im Kernel wurden mehrere Schwachstellen im Zusammenhang mit "The Stack Clash" entdeckt. Dieses Update installiert einen gepatchten Kernel in Version 4.4.70, in dem diese Probleme behoben sind.
Security: Bug in aktuellen Intel Skylake/Kaby Lake Prozessoren
In aktuellen Intel Skylake/Kaby Lake Prozessoren kommt es bei aktiviertem Hyper-Threading aufgrund eines Bugs im Microcode zu unvorhergesehenem Systemverhalten. Mit diesem Update wird der Intel Microcode durch das Einpsielen des neuen microcode-20170511 für Intel Skylake Prozessoren behoben. Bei Kaby Lake Prozessoren wird empfoholen sicherheitshalber Hyper-Threading im BIOS zu deaktivieren. Siehe auch hier:
Security: Strongswan IKE Daemon für VPN Verbindungen
Im Quell-Code von Strongswan, dem IKE Daemon für VPN Verbindungen wurden Sicherheitslücken entdeckt, welche VPN-Links anfällig für einen Denial of Service-Angriff machten. Diese Lücken werden in einem Update auf die Version 5.5.3 geschlossen.
Die Version bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):
CVE-2017-9022 CVE-2017-9023
Security: Archivmanager unrar
Im Quell-Code von unrar wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.
Die Version unrar 5.5.5 wird installiert. Siehe CVE-2012-6706
GUI: Anzeige der System-Logdateien
Über die Aktion "Anzeigen" können unter Überwachung/Auswertung → Logdateien → System-Logdateien die Einträge der Logdatei angezeigt werden. Aufgrund einer Änderung im Programm loggrep konnten unter Umständen Logeinträge je nach gewählter Zeitspanne nicht meht richtig angezeigt werden. Mit diesem Release wird die Anzeige korrigiert.
Kopano Groupware: Z-Push ActiveSync - Öffentliche Ordner
Z-Push bietet Unterstützung für ActiveSync Clients. Über die Konfigurationsoptionen lässt sich festlegen, welche öffentlichen Ordner über Z-Push verfügbar sein sollen. Ein Fehler beim Auslesen der Daten führte dazu, dass keine Ordner zur Auswahl vorhanden waren. Mit dem aktuellen Release funktioniert der Mechanismus wieder uneingeschränkt.
Hinweise
Hardware: Boot-Einstellung für HP Smart Array Controller
Während dem Upgrade wird der vorhandene Smart Array CCISS-Treiber durch den neuen HP Smart Array SCSI (HPSA) Treiber ersetzt. Wenn ein HP/Compaq Smart Array Controller benutzt wird, wird mit diesem Update das korrekte Device angesteuert.
Bekannte Probleme
VPN: Kompression
Wenn Kompression eingeschaltet ist, können einige Pakete, z.B. ICMP Requests, verloren gehen. Ab Version 5.5.0 ist Kompression in VPN-Verbindungen deaktiviert. Nichts desto trotz wird Kompression benutzt, falls die Gegenstelle dies anfordert.
VPN: Verbindungen mit Schlüsselaustausch MD5
Der Hash-Algorithmus MD5 wird in manchen Fällen für die Verschlüsselung von VPN-Tunneln benutzt. Wenn als verwendetes IPSec Proposal nur MD5 und keine weiteren konfiguriert waren und die Gegenstelle MD5 nicht akzeptierte, wurde automatisch auf SHA1 gewechselt. Ab diesem Release wechselt StrongSwan nicht mehr automatisch auf SHA1. Damit der Tunnel aufgebaut werden kann, muß im IPSec Proposal SHA1 explizit ausgewählt werden. Wenn auf der Gegenstelle bessere Hash-Algorithmen als SHA1 eingerichtet werden, werden diese automatisch von StrongSwan verwendet.
VPN: Verbindungen mit Schlüsselaustausch SHA2 (256 Bit)
Bei VPN-Verbindungen, die beim Schlüsselaustausch (IKE) den Hash-Algorithmus SHA2 (256 Bit) verwenden, kann es vorkommen, dass die VPN-Verbindung nach einem Upgrade auf Version 7 nicht mehr automatisch etabliert wird. Prüfen Sie dann zunächst das zugerhörige IPsec-Proposal. Um die VPN-Verbindung wieder herstellen zu können, aktualisieren Sie auch die Gegenstelle auf Version 7 oder passen Sie den verwendeten Algorhitmus auf beiden VPN-Verbindungsseiten auf SHA2 (384 Bit) oder höher an.