Release Notes CSG 7.0.2

Collax Security Gateway
13.02.2017

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

Security: Linux Kernel 4.4.44

Collax Server 7 basiert auf dem Long Time Support (LTS) Kernel 4.4. Dieser wird bis Februar 2018 offiziell gepflegt, dadurch kann Collax die beste und längste Unterstützung bzgl. Security und Hardware-Treibern bieten.

Security: Wichtige sicherheitsrelevante Systempakete

Im Quellcode wichtiger Systempakete wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen. Anbei ein Auszug der bekanntesten Pakete.

  • zlib1g 1.2.11
  • libgd2 2.2.4
  • libpng3 1.6.27
  • kernel 4.4.50
  • gnutls 3.3.26
  • openssl 1.0.2k
  • socat 1.7.3.1
  • bind 9.9.9.5
  • curl 7.52.1
  • ntpd 4.2.8p9
  • openssh 7.4p1
  • samba 4.3.13
  • squid 3.5.23

Security: Amavis - Scanengine und Virenbenachrichtigung

AMaViS (A Mail Virus Scanner) ist eine zuverlässige High-Performance-Schnittstelle zwischen Mailer (MTA) und einem oder mehreren Viren Scanner Engines. Bei der Überprüfung von Mails werden nun erweiterte Infos über den verwendeten Virenscanner (Scanengine) und den gefundenen Virus im Betreff der Virenbenachrichtigunsmail und in den Systemlogdateien angezeigt.

GUI: Verlauf und Form Popup aufräumen

In dem Dialog “Aufräumen” im Menü Status->Werkzeugkasten->Aufräumen können Browserdaten, die die GUI gespeichert hat, vom System entfernt werden. Hierzu zählt der Verlauf der aufgerufenen Formulare und die De- bzw. Reaktivierung von Popups.

Hardware: Erweiterung der Hardwareunterstützung von NVMe-Laufwerken

Mit diesem Update werden NVM Express (NVMe) Laufwerke unterstützt.

In dieser Version behobene Probleme

GUI: Zurückziehen von Zertifikaten

Über die Aktion “Zertifikate zurückziehen” wird ein Zertifikat zurückgezogen. Das Zertifikat wird gelöscht und in die CRL (Certificate Revocation List) für die CA eingetragen. Ab diesem Zeitpunkt ist das Zertifikat auf dem Collax Security Gateway gesperrt. Hierbei war die Fensteransicht mit den Ausgabedetails innerhalb der GUI-Aktion zu klein gewählt und unübersichtlich. Mit diesem Release wird die Ansicht korrigiert.

GUI: Intranet Assistent

Innerhalb des Intranet Assitenten kam es unter bestimmten Umständen zu einer Fehlermeldung beim Speichern des DNS Formulars. Mit diesem Release wird das Formular korrigiert.

GUI: Hosts in Netzwerkgruppen hinzufügen

Eine Netzwerkgruppe kann ein Netzwerk und mehrere Hosts enthalten. Ab diesem Update können die Hosts, die Mitglied in einer Netzwerkgruppe sein sollen, direkt innerhalb des Dialogs über ein Multi-List-Element der Netzwerkgruppe hinzugefügt werden.

E-Mail: Fetchmail - Abholzeiten

Wenn für die Emailabholung mehrere Zeiträume für die definierten Abholaufträge zum Leeren externer Postfächer eingestellt waren, führte dies zu einer fehlerhaft generierten Konfigurationsdatei und in der Folge dazu, dass Emails nicht abgeholt werden konnten. Dies wird mit diesem Update behoben.

Net: Weiterleitung auf Zielportbereiche

Unter Netzwerk -> Firewall -> DNAT/Portweiterleitung können Dienste auf einen Zielserver umgeleitet werden. Das Umleiten von Diensten führte zu einer fehlerhaften Konfiguration, wenn Zielportbereiche statt eines einzelnen Zielports umgeleitet wurden. Dies wird mit diesem Update behoben. Dienste mit Portbereichen werden dann korrekt weitergeleitet.

Portumleitungen dienen dazu, eingehende Anfragen an bestimmte Ports an einen anderen Server umzuleiten. Wenn eine Portweiterleitung auf einen PPPoE-Link eingeschränkt wurde, funktionierte die Portweiterleitung nicht. Dies wird mit diesem Update behoben.

Net: Ethernet-Port-Bündelung

Nach dem Anlegen neuer Ethernet-Port-Bündelungen konnte der Link aufgrund eines fehlerhaften Startscriptes nicht gestartet werden. Dies wird mit diesem Update behoben.

Net: MTU Berechnung

Aufgrund einer Falschberechnung der MTU konnte unter bestimmten Umständen der Internetlink nach dem Upgrade auf das Release V7 nicht gestartet werden. Dies wird mit diesem Update behoben.

Net: PPtP Linknamen

Die Linkskripte für PPtP Verbindungen hatten unter bestimmten Umständen einen Fehler, sodass der Daemon für PPtP nicht gestartet werden konnte. Dieses Update behebt diesen Fehler.

Netzwerkverbindungen vom Typ Ethernet werden u.a. durch eine IP-Adresse und durch ein angeschlossenes, erreichbares Netzwerk definiert. War die Maske des erreichbare Netzwerks /32, wurde diese Verbindung nicht aufgebaut. Mit dieser Version wird dieser Fall berücksichtigt und der Ethernet-Link aufgebaut.

VPN: Formular IPSec L2TP Anbindung

Beim Speichern von VPN-Verbindungen vom Typ L2TP kam es unter bestimmten Umständen zu einer Fehlkonfiguration der ipsec.secrets Datei, mit der Folge, dass die Verschlüsselung nicht ausgehandelt werden konnte und der Einwahllink nicht funktionierte. Dies wird mit diesem Release behoben.

VPN: IPSec Startscript

Bei der Erstellung von VPN-Verbindungen werden die den Verbindungsnamen unterliegenden Scripte immer mit einer bestimmten Syntax erstellt. Dies führte unter bestimmten Umständen zu einer Fehlkonfiguration der Startscripte. Dies wird mit diesem Release behoben.

Backup/Restore: Backup-Ziel Server wurde zu falschem FQDN geändert

Alle in der Web-Administration verwendeten IP-Adressen oder Hostnamen werden ab Version 7 in Host-Objekte umgewandelt. Es war möglich, dass die Backup-Server-Einstellung nach einem Update auf einen falschen FQDN statt der ursprünglichen IP-Adresse gewandelt wurde und der Backup-Job nicht korrekt durchgeführt werden konnte. Mit dieser Version wird bei der Umwandlung die IP-Adresse als Einstellung bevorzugt. Damit werden Backup-Jobs nach dem Upgrade korrekt durchgeführt.

Verschiedenes: Proxylogauswertung Awstats und DNS Cachedatei

Mit diesem Update wird ein Mechanismus innerhalb des Logauswertungstools Awstats behoben, wodurch geänderte DNS-Host und IP-Adresszuordnungen aktualisiert werden. Bisher wurden IP-Adressen und zugehörige Hostnamen innerhalb einer Cachedatei dauerhaft gespeichert und bei Änderungen nicht aktualisiert.

Hinweise

Hardware: HP Smart Array CCISS Treiber

Während dem Upgrade wird der vorhandene Smart Array CCISS-Treiber durch den neuen HP Smart Array SCSI (HPSA) Treiber ersetzt.