Release Notes CSG 5.0.8
Collax Security Gateway
15.12.2009
Neu in dieser Version
E-Mail: SMTP-Relay Port einstellbar
Mit dieser Version ist es möglich unter “Einstellungen->Mail und Messaging->Mail->SMTP->Versand”, sowie bei “Domains” bei Verwendung eines SMTP-Relays dem Relay-Host einen Port mit anzugeben. Die Einstellung eines anderen SMTP-Relay Ports kann erforderlich sein, wenn der Relay-Server Ihres E-Mail-Anbieters die E-Mails nicht auf dem Standard-Port 25 entgegennimmt.
Net: Erweiterter Verbindungstyp DHCP (Kabelmodem)
Um Verbindungen ins Internet z.Bsp. über Kabelmodem herzustellen, wird die Adresszuweisung und die Routing-Informationen über DHCP verwaltet. Ab diesem Update ist es möglich, einen DHCP-Link mit automatischer Route einzurichten.
VPN: Citrix ICA-Client als Anwendung für SSL-VPN
Mit SSL-VPN kann über eine gesicherte, authentifizierte Verbindung auf interne Netzwerkressourcen oder Anwendungen zugegriffen werden. Mit diesem Update gibt es die Möglichkeit als Anwendung den Citrix(ICA)-Client zu benutzen, um damit auf interne Citrix-Server oder Terminal-Server zugreifen zu können.
VPN: Zusätzliche SSL-VPN-Optionen bei RDP-Verbindungen
Ab dieser Version stehen für die Konfiguration von RDP-Verbindungen zusätzlichen Option bereit. So können nun innerhalb einer SSL-VPN-Verbindung definiert werden, ob die RDP-Verbindung komprimiert werden soll, oder ob Drucker, Laufwerke, Serielle Schnittstellen auf den lokalen Arbeitsplatzrechner durchgereicht werden sollen.
Backup/Restore: Logisches Volume als Sicherungsziel
Ab dieser Version ist es möglich Logische Volumes mit einem Dateisystem anzulegen und anschliessend als Sicherungsziel zu verwenden. Das bietet zwei Möglichkeiten. Zum einen kann die Sicherung in ein lokales Volume erfolgen, das von der Größe begrenzt ist und das System durch vollständiges Beschreiben nicht beeinflusst. Zum anderen können die Sicherungsdaten auf ein iSCSI-Laufwerk ausgelagert werden.
System-Management: Importierbare Gruppen
Gruppen, die über den ActiveDirectory-Proxy nutzbar sind, können jetzt unter “Einstellungen->Benutzungsrichtlinen->Richtlinien->Importierbare Gruppen” zu den lokalen Gruppen hinzugefügt werden.
Dort wird eine Liste aller über den ActiveDirectory-Proxy benutzbaren Gruppen und ihr Importstatus angezeigt. Sind ActiveDirectory-Proxy-Gruppen in den lokalen Kontext importiert, können sie wie gewöhnliche Gruppen verwendet werden.
Hardware: Unterstützung von GUID-Partitionstabellen
Für Neuinstallationen von Collax Server werden ab diesem Software-Stand GUID-Partitionstabellen (GPT) benutzt. Damit können Festplatten mit mehr als 2 TB adressiert werden. Die maximale Größe einer Festplatte darf 8192 Exabyte betragen.
In dieser Version behobene Probleme
Security: Internet-Domain-Name-Server Bind
Im Quell-Code des Internet-Domain-Name-Server wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.
Ein Patch für die Version Bind 9.5.1 wird installiert und bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):
Security: Unix Druckdienst CUPS
Im Quellcode des Unix-Druckdienstes CUPS wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.
Mit diesem Update werden Patches für die Version cups 1.3.11 installiert und beziehen sich auf folgende Common Vulnerabilities and Exposures (CVE):
Security: IMAP-Dienst Cyrus
Im Quellcode des IMAP-Dienstes Cyrus wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.
Mit diesem Update werden Patches für die Version cyrus 2.3.13 installiert und beziehen sich auf folgende Common Vulnerabilities and Exposures (CVE):
Security: Mailabholung Fetchmail
Im Quellcode der Mailabholung Fetchmail wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.
Mit diesem Update werden Patches für die Version fetchmail 6.3.11 installiert und beziehen sich auf folgende Common Vulnerabilities and Exposures (CVE):
Security: Verzeichnisdienst OpenLDAP
Im Quellcode des Verzeichnisdienstes OpenLDAP wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.
Mit diesem Update wird die Version OpenLDAP 2.4.19 installiert und bezieht sich auf folgende CVE-Nummer:
Security: MySQL-Administration phpmyadmin
Im Quellcode der MySQL-Administration phpmyadmin wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.
Mit diesem Update wird ein patch für die Version phpmyadmin 2.11.9.5 installiert und bezieht sich auf folgende CVE-Nummer:
Security: Samba, Windows SMB/CIFS Server für UNIX
Im Quell-Code des Windows SMB/CIFS File-Server Samba wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.
Ein Software-Patch für Version Samba 3.0.34 wird installiert und bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):
CVE-2009-2813 CVE-2009-2906 CVE-2009-2948
Security: Linux Kernel
Im Quell-Code des Linux-Kernel wurden Sicherheitslücken entdeckt, die mit diesem Update geschlossen werden. Weiterhin werden neuere Versionen des e1000e-, sowie des igb-Treiber für Intel-Netzwerkkarten installiert.
Web Proxy: HTTP-Kopfzeilen anonymisieren und Authentifizierung
Wenn die Option HTTP-Kopfzeilen anonymisieren des Web-Proxy auf Paranoid gestellt und Web-Proxy mit Benutzerauthentifizierung gesetzt wurde, funktionierte anschließend die Benutzerauthentifizierung nicht mehr korrekt. Mit diesem Update werden Einstellungen bezüglich der Option HTTP-Kopfzeilen anonymisieren: Paranoid verbessert. Die Benutzerauthentifizierung am Web-Proxy funktioniert wieder korrekt.
System-Management: Überwachung einer URL
Mit der aktiven Überwachung ist es möglich bestimmte URLs eines anderen Servers zu überwachen. Wenn die URLs Zeichen wie = & ? enthält, hat der Überwachungsdienst bezüglich der Service Description die Meldung
ausgegeben. Mit diesem Update wird die Beschreibung des Überwachungstests (Service Description) ohne die oben genannten Zeichen erzeugt. Damit kann der Überwachungprozess regulär gestartet und die angegebene URL überwacht werden.
Hardware: HP/Compaq Smart Array Controller
Der Eintrag im Bootloader, um HP/Compaq Smart Array Controller-Geräte zu booten, war in Version 5.0.6 fälschlicherweise auf /dev/sda gesetzt. Mit diesem Update auf Version 5.0.8 wird das korrekte Gerät /dev/cciss/c0d0p3 angesteuert, wenn ein HP/Compaq Smart Array Controller benutzt wird.
Hinweise
Collax SSL-VPN: Verhaltensänderungen von Objekten
Ab dieser neuen SSL-VPN-Version werden bei allen Objekten (SSL-Tunnels, Web-Weiterleitungen, Reverse-Proxy-Weiterleitungen und SSL-VPN-Anwendungen) die Netzwerkberechtigungen überprüft. Bei der Konfiguration sollte daher darauf geachtet werden, dass die entsprechenden Netzwerke mit in die Gruppenberechtigungen aufgenommen werden. Die Angabe eines Ports oder Interface für den SSL-VPN-Dienst entfällt mit dem Update auf diese Version.