Neu in Version 7.0.14
Security: Wichtige sicherheitsrelevante Systempakete
Im Quellcode wichtiger Systempakete wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen. Anbei ein Auszug der bekanntesten Pakete und CVE Nummern.
- mariadb 10.0.31
- libgcrypt 1.8.1
- postfix 3.1.6
CVE-2017-3308 CVE-2017-3309 CVE-2017-3453 CVE-2017-3456 CVE-2017-3464 CVE-2017-3636 CVE-2017-3641 CVE-2017-3653 CVE-2017-0379 CVE-2017-9526 CVE-2017-10140
GUI: Statistiken aufräumen
In dem Dialog "Aufräumen" im Menü Status->Werkzeugkasten->Aufräumen können Daten die die GUI gespeichert hat, vom System entfernt werden. Mit diesem Release können die Systemstatistiken gelöscht werden.
Security: Collax Anti Spam powered by Kaspersky™
Mit dem Update 7.0.14 für Security Gateway, Business Server, Groupware Suite und Platform Server wird die neue Funktion Collax Anti Spam powered by Kaspersky™ eingeführt. Collax Anti Spam beinhaltet eine Reihe neuer und aktueller Applikationen, die die Sicherheit von E-Mail-Servern garantieren. Collax Anti Spam kann außerdem für die Einrichtung eines speziellen Mail-Gateways auf Basis von Collax Servern genutzt werden und funktioniert selbst in komplexen, heterogenen Systemen völlig problemlos. Collax Anti Spam verwendet einen hybriden Ansatz, in der Cloud und on-premise, um Spam und Phishing zu erkennen. Einige der Methoden sind Cloud-basiert und ermöglichen dadurch eine effektivere Erkennung und Blockierung von E-Mails. Zu den Methoden von Collax Anti Spam gehören die linguistische Analyse (Heuristik), DMARC-Spezifikation, Anti-Phishing Technologie, Cloud-basierte Erkennung, Grafik-Analyse, Filterung obszöner Sprache und östliche und kyrillische Sprachkodierungen akzeptieren.
E-Mail: IMAP-Dienst Cyrus
Im Quellcode des IMAP-Dienstes Cyrus wurden einige Fehler behoben.
Mit diesem Update wird die Version cyrus 2.5.11 installiert.
Webproxy: Proxy- und Zertifikatscache leeren und neu anlegen
Wenn das CA-Zertifikate für HTTPS-Anfragen für den Web-Proxy-Server gewechselt wird, muss auch der Zertifikatscache neu angelegt werden. Mit diesem Feature können sie per Klick den Inhalt des Proxy- und des Zertifikats-Caches leeren und neu anlegen und der Proxy wird danach automatisch neu gestartet. Der Vorgang wird Ihnen dabei in einem Statusfenster angezeigt. Den Schalter hierzu finden Sie unter "Dienste" -> "Web Proxy" -> "Status/Wartung" -> " Cache löschen" . Beim Wechsel der CA im Web-Proxy Dialog wird der Cache zudem automatisch gelöscht.
Kopano Groupware: Kopano Core 8.3.4
Mit diesem Collax Update wird die Version Kopano Core 8.3.4 installiert.
Kopano Groupware: Neue Version von Z-Push ActiveSync
Z-Push bietet Unterstützung für ActiveSync Clients. Die Software wird mit diesem Collax System-Update auf die neuste Version 2.3.8 aktualisiert. Es handelt sich hier um ein Maintenance Release und enthält eine Vielzahl an Verbesserungen. Die Integration von Z-Push in die Collax Platform enthielt zudem korrigierte Fehler im Authentifizierungssystems, die damit behoben worden sind. In Einzelfällen kann dies dazu führen, dass sich ActiveSync Clients nicht mehr mit dem Server verbinden. Kontrollieren Sie daher im Anschluß an das Update, ob sich die ActiveSync Clients weiterhin mit dem Server synchronisieren können und setzen Sie ggf. das Kennwort im Z-Push Profil neu.
Behobene Probleme in Version 7.0.14
Netz: VoIP/SIP-Verbindungshelfer
Für den Austausch von SIP-Audiopaketen über eine Firewall ist der SIP-Verbindungshelfer erforderlich. Mit dem SIP-Verbindungshelfer ist es möglich, die dynamischen Audiodaten über UDP (User Datagram Protocol) auf Firewallebene nachzuverfolgen und zu verändern. Aufgrund eines Fehlers wurden Pakete falsch markiert und über ein anderes Interface geleitet mit der Folge, dass man bei SIP Gesprächen mindestens einen Teilnehmer nicht hören konnte. In diesem Update wird dieses fehlerhafte Modul für den verwendeten Kernel entfernt.
Collax Mail Archive: Download von Anhängen
Aufgrund eines Fehlers im Code der Softwarekomponente "Collax Mailarchiv" funktionierte der Download von Anhängen in der Mailarchiv-Suche nicht mehr. Dies wird mit diesem Release behoben.
Hinweise
E-Mail: Erhöhter Platzbedarf bei Nutzung des IMAP-Servers und aktiviertem Volltext-Index
Im Dialog "Mail und Messaging -> Mail Storage -> IMAP und POP3" kann der IMAP-Server aktiviert werden, über die Benutzer Zugang zu Ihrem Postfach erhalten. Innerhalb der Optionen kann durch Aktivierung von "Erstelle Volltext-Index" die Suche innerhalb der IMAP-Ordner und E-Mails für die lokalen IMAP-Ordner beschleunigt werden. Bei aktiviertem Volltext-Index können in Einzelfällen bis zu 20% mehr Platzbedarf zum vorherigen Release (bei ebenfalls aktiviertem Volltext-Index) entstehen. Überprüfen Sie daher vor dem Update im Dialog "Status -> System -> Statistiken" für das Dateisystem "data" und den Dienst "cyrus" den Platzverbrauch und ermitteln Sie den Platzbedarf.
Security: Sicherheitswarnung - Z-Push ActiveSync Clients
Durch eine Sicherheitslücke unserer Implementierung von Z-Push in das Collax Authentifizierungssystem kann es möglich sein, dass unberechtigter Zugriff auf E-Mail-Konten von Kopano stattfindet. Diese Sicherheitslücke betrifft alle Collax Installationen mit Kopano unter Verwendung des Z-Push-Moduls ab Collax Version 7. Mit dem Release Version 7.0.14 wurde der Fehler behoben. Das Update enthält ein aktuelles Z-Push- und eine neues Z-Push-Webservices-Paket sowie eine Systembibliothek. Die Sicherheitslücke ist von uns als kritisch eingestuft. Bitte aktualisieren Sie deshalb sofort entsprechend alle Collax Serversysteme auf denen Kopano und Z-Push eingesetzt wird.
System-Management: Überwachung von Festplatten an LSI Controllern
Mit diesem Update wird die aktive Überwachung durch Nagios für Media Errors von Raid-Controllern des Herstellers LSI angepasst. Bisher wurden bereits einzelne Festplattenfehler als Warning ausgegeben, obwohl der RAID Controller einzelne Fehler mühelos erkennen und automatisch korrigieren kann und noch kein Problem vorliegt. Die Warnung wird nun ab einer Schwelle von 100 Fehlern angezeigt.
Bekannte Probleme
VPN: Kompression
Wenn Kompression eingeschaltet ist, können einige Pakete, z.B. ICMP Requests, verloren gehen. Ab Version 5.5.0 ist Kompression in VPN-Verbindungen deaktiviert. Nichts desto trotz wird Kompression benutzt, falls die Gegenstelle dies anfordert.
VPN: Verbindungen mit Schlüsselaustausch MD5
Der Hash-Algorithmus MD5 wird in manchen Fällen für die Verschlüsselung von VPN-Tunneln benutzt. Wenn als verwendetes IPSec Proposal nur MD5 und keine weiteren konfiguriert waren und die Gegenstelle MD5 nicht akzeptierte, wurde automatisch auf SHA1 gewechselt. Ab diesem Release wechselt StrongSwan nicht mehr automatisch auf SHA1. Damit der Tunnel aufgebaut werden kann, muß im IPSec Proposal SHA1 explizit ausgewählt werden. Wenn auf der Gegenstelle bessere Hash-Algorithmen als SHA1 eingerichtet werden, werden diese automatisch von StrongSwan verwendet.
VPN: Verbindungen mit Schlüsselaustausch SHA2 (256 Bit)
Bei VPN-Verbindungen, die beim Schlüsselaustausch (IKE) den Hash-Algorithmus SHA2 (256 Bit) verwenden, kann es vorkommen, dass die VPN-Verbindung nach einem Upgrade auf Version 7 nicht mehr automatisch etabliert wird. Prüfen Sie dann zunächst das zugerhörige IPsec-Proposal. Um die VPN-Verbindung wieder herstellen zu können, aktualisieren Sie auch die Gegenstelle auf Version 7 oder passen Sie den verwendeten Algorhitmus auf beiden VPN-Verbindungsseiten auf SHA2 (384 Bit) oder höher an.