Release Notes CGS 7.2.30
Collax Groupware Suite
16.07.2024
Hinweise zur Installation
Update installieren
Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:
Vorgehen
- Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
- Gehen Sie auf Menu → Software → Systemupdate und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
- Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
- Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
- Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.
Neu in dieser Version
Let’s Encrypt - Automatische Port-Öffnung
Let’s Encrypt ist eine Zertifizierungsstelle, die kostenlose X.509-Zertifikate für die SSL-Verschlüsselung anbietet. Die Aktivierung des Accounts erfordert den Zugang zum HTTP-Port für das Challenge-Response-Verfahren und schaltet diesen für das Internet frei. Der Collax Server führt den Verlängerungsprozess automatisch durch. Sobald eine Erneuerung erfolgt, wird der HTTP-Port 80/TCP auf der Firewall vorübergehend für den externen Zugriff geöffnet und nach Abschluss sofort wieder geschlossen.
Let’s Encrypt - Ländersperre
Let’s Encrypt könnte mit der Ländersperre kollidieren. Wir haben jedoch eine clevere Lösung gefunden. Da Let’s Encrypt das Challenge-Response-Verfahren zur Erneuerung eines Zertifikats von weltweit verteilten Servern ausführt, ist es aus Sicherheitsgründen nicht bekannt, wo diese Server stehen. Eine Ländersperre könnte daher verhindern, dass die Zertifikate erneuert werden.
Mit diesem Update wird die Firewall den Port 80 nur während des Erneuerungsprozesses öffnen und unmittelbar danach wieder schließen. Der Port wird unabhängig von der Ländersperre für alle IP-Adressen geöffnet.
Mail: Port 465 nutzt nun SMTPS
Abgehende E-Mails können über einen Relay-Server verschickt werden. Provider bieten in der Regel die Ports 25 und 587 mit dem StartTLS-Verfahren an. Port 465 wird hingegen für den Versand mittels SMTPS verwendet. Mit diesem Release nutzen Collax Server nun SMTPS bei Verwendung des Ports 465. Der “Test E-Mail”-Button im Formular “Benutzungsrichtlinien -> Administrator” für den Empfang von Status-E-Mails wurde ebenfalls entsprechend angepasst.
System Management: Network UPS Tools 2.8.2
Mit diesem Update wird das aktuelle Release der Network UPS Tools (NUT) in der Version nut-2.8.2 installiert.
Security: Sicherheitsrelevante und allgemeine Updates
In diesem Release wurden verschiedene Softwarepakete aktualisiert. Neben sicherheitsrelevanten Updates wurden auch allgemeine Wartungs- und Pflegeupdates durchgeführt.
Die Aktualisierungen und Fehlerbehebungen betreffen folgende Pakete
- Apache 2.4.59
- Openssl: Patches
- Squid: 6.10
- Ghostscript: Patches
In dieser Version behobene Probleme
System-Management: Linux Kernel 6.6.32 und SMB-Protokolle
Ein Fehler im letzten Kernel führte bei bestimmten Installationen zu einem erhöhten Ressourcenverbrauch und einer höheren Serverlast bis zum völligen Stillstand beim Sichern großer Dateien auf SMB-basierte Sicherungsziele (klassische NAS). Betroffen waren ausschließlich Sicherungen, die das alte SMB-Protokoll SMB1 und SMB2 verwendeten. Server mit dem neueren SMB3, das seit Windows 8 und Windows Server 2012 unterstützt wird, waren von diesem Problem nicht betroffen. Wir möchten an dieser Stelle nochmals nachdrücklich davon abraten, SMB1 zu verwenden, da dieses ältere Protokoll bekannte Sicherheitslücken aufweist, die mit Ransomware und anderen Schadprogrammen in Verbindung stehen können. Wir empfehlen daher dringend, Ihre Sicherungsziele (NAS) entsprechend zu überprüfen. SMB3 unterstützt zudem die AES-basierte Verschlüsselung der Datenübertragung und bietet die Möglichkeit mehrere SMB-Aktionen zu einer einzelnen Anforderung zu verbinden.
Mit diesem Update wird der Linux Kernel 6.6.32 installiert.
Netzwerk: RegreSSHion
Experten haben kritische Sicherheitslücken im OpenSSH-Server entdeckt und unter dem Namen “RegreSSHion” veröffentlicht. Diese Sicherheitslücke, eine Race Condition im Signalhandler von sshd, ermöglicht Remote Code Execution (RCE) mit Root-Rechten. Mit diesem Software-Update wird das Paket ssh_9.3p2 installiert, das die Sicherheitslücken schließt.
Netzwerk: Behebung von selten auftretenden DNS-Aussetzern nach Konfigurationsänderung
Änderungen in der Weboberfläche werden nicht direkt im System umgesetzt. Vielmehr muss eine Konfiguration explizit “aktiviert” werden. Dadurch ist es möglich, auch eine komplexe Konfiguration über die Weboberfläche zu erstellen und anschließend komplett zu aktivieren. Aufgrund einer Anomalie im DNS-Dienst Bind konnte dies in seltenen Fällen zu einer Störung des DNS-Dienstes führen. Mit diesem Software-Update wird das Paket bind-9.18.27 installiert.
Hinweise
Zusatz-Software: Bitdefender - Proxy für Updates
Die Updates der Virenmuster (Pattern) werden nach einem eingestellten Zyklus durchgeführt. Für das Patternupdate des Bitdefender Viren- und Spamfilters ist momentan die Benutzung eines http-Proxies nicht möglich.
Zusatz-Software: Bitdefender - Patternupdate nach Inbetriebnahme
Nach Inbetriebnahme des Moduls Collax Antivirus powered by Bitdefender kann es einige Minuten dauern, bis die aktuellen Virenmuster (Pattern) heruntergeladen wurden. Klickt man währenddessen im Virenscanner Formular auf Bitdefender aktualisieren, kommt es zu einer Fehlermeldung “Error connecting to server at /opt/lib/bitdefender//bdamsocket: -3”, da der Hintergrundprozess noch nicht vollständig ausgeführt wurde.
GUI: Sporadische Hänger bei laufenden Jobs
In der rechten oberen Ecke der Webadministration wird der Fortschritt von Konfigurationsjobs angezeigt. Bei umfangreichen Änderungen im Bereich Netzwerk, insbesondere bei Ländersperren (geo-ip), kann es in seltenen Fällen vorkommen, dass die Job-Anzeige während der Aktivierung stockt. Ab Release 7.2.28 werden Sie nun mit der Meldung “Netzwerkverbindung wurde unterbrochen: Nachrichten können verloren gehen, bis die Verbindung wiederhergestellt werden kann.” über solche Situationen informiert.
VPN: Fix für IKEv2 mit Microsoft Windows bricht nach 7,6 Stunden ab
VPN-Verbindungen mit IKEv2 und den Bordmitteln von Microsoft Windows werden nach genau 7,6 Stunden unterbrochen. Der Fehler tritt auf, da Microsoft Windows während der IKE-Neuverschlüsselung andere Algorithmen vorschlägt als bei der ersten Verbindung. Mit einem Registry-Fix lässt sich das Problem beheben, indem der Wert “NegotiateDH2048_AES256” unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters auf 1 gesetzt wird.
Unter folgendem Link finden Sie eine REG-Datei (Registryeintrag) die den Registrierungsschlüssel hinzufügt. Collax übernimmt keine Haftung für Systemfehler, die daraus resultieren.