Release Notes CSG 7.2.0
Collax Security Gateway
30.11.2021
Hinweise zur Installation
Update installieren
Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:
Vorgehen
- Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
- Gehen Sie auf Menu → Software → Systemupdate und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
- Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
- Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
- Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.
Neu in dieser Version
Das Upgrade
Die Version 7.2 ist ein Plattform-Upgrade, bei dem sämtliche Pakete ausgetauscht und auf aktuellen Stand gebracht werden. Ein Großteil der Open-Source-Projekte wird hierbei auf eine neue Major-Version gebracht (Postfix, Cyrus, BIND, OpenSSL, MariaDB, Nagios, strongSwan u.v.m.). Ebenso hat der Linux-Kernel ein Major-Update erfahren und läuft nun mit der Version 5.10 (vorher 4.9).
Installationshinweise
Download und Paket-Installation werden deutlich länger, als gewohnt dauern. Nach der Installation von 7.2.0 wird ein automatischer Neustart des Servers erfolgen. Auch der anschließende Boot-Vorgang dauert länger als gewohnt. Auf kleinen Systemen, etwa Embedded Systems, kann der gesamte Vorgang eine Stunde und länger beanspruchen.
Während des Upgrades kann die Administrationsoberfläche nicht in vollem Umfang genutzt werden. Da sich einige Komponenten zeitweise mit nicht-kompatiblen Versionsständen auf dem System befinden, kann der Aufruf von Formularen zu Fehlern führen oder die Verbindung zwischen Browser und Server geht verloren.
In Einzelfällen kann es dazu kommen, dass der Fortschritt des Upgrades nicht mehr aktualisiert wird. Es handelt sich nur um die Ausgabe, das Upgrade wird aber weiter im Hintergrund fortgeführt. Den Server während des Upgrades auf keinen Fall neustarten. Wir bitten das seltene Auftreten dieses Falls zu entschuldigen und etwas Geduld aufzubringen.
System-Management: Linux Kernel 5.10.80
Mit diesem Update wird der Linux Kernel 5.10.80 installiert.
GUI: Neues Iconset und intuitives Theme
Die Administrationsoberfläche bekommt ein sichtbar neues Kleid. Mit diesem Update wird ein neues Iconset eingeführt und das Theme angepasst, um die Weboberfläche der Collax Server V7.2 von der vorherigen unterscheidbar zu machen. Zudem wird die Bedienung intuitiver gestaltet. Die Struktur wurde unverändert gelassen. Bis auf eine Ausnahme: Um mehr Platz für wichtigere Dinge zu gewinnen, wurde die oberste Leiste mit dem Abmelde-Button aufgelöst. Der Abmelde-Button und die Information über den eingeloggten Administrierenden befindet sich nun auf der linken Seite, unten im Kasten des Hauptmenüs.
Verschiedenes: TLSv1.3
Mit diesem Update wird OpenSSL 1.1.1i installiert. Die OpenSSL-Version enthält standardmäßig Unterstützung für TLSv1.3. Damit ist TLS 1.3 der offizielle Standard für die Transportverschlüsselung. Alle Dienste werden versuchen eine Verbindung mit TLS 1.3 aufzubauen bzw. fordern den Verbindungsaufbau mit TLS 1.3 an. Wird dies von der Gegenseite nicht unterstützt, wird auf TLS 1.2 ausgewichen. Es wird kein Verbindungsaufbau mit TLS 1.1 oder älter mehr zugelassen. Ist dies dennoch erwünscht, kann der betroffene Dienst für TLS 1.1 umkonfiguriert werden.
Security: Wichtige sicherheitsrelevante Systempakete
Mit dem Collax Server V7.2 Update werden alle Systempakete upgedatet. Im Quellcode wichtiger Systempakete wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen. Anbei ein Auszug der bekanntesten Pakete und CVE Nummern.
BIND 9.16.21
- CVE-2020-8616 - remote DOS or reflection attack with recursive queries
- CVE-2020-8622 - possible DOS with TSIG
- CVE-2020-8624 - upsate privilege escalation
- CVE-2020-8619 - potential DOS
- CVE-2020-8616 - remote DOS or reflection attack with recursive queries
- CVE-2020-8617 - remote triggered inconstent state
- CVE-2019-6477 - resource exhaustion with pipelined queries
roundcubemail 1.4.11
- CVE-2020-35730 - cross-site scripting (XSS) via HTML or Plain text messages
- CVE-2020-16145 - cross-site scripting (XSS) via HTML messages with malicious svg content
- CVE-2020-12625 - XSS issue in handling of CDATA in HTML messages
- CVE-2020-12640 - local file inclusion (and code execution) via crafted ‘plugins’ option
- CVE-2020-12626 - CSRF bypass that could be used to log out an authenticated user
OpenSSL 1.1.1i
- CVE-2020-1971 - possible DOS with CRLs
- CVE-2020-1967 - possible DOS with TLS 1.3
SQLite 3.34.1
- CVE-2020-15358 - Malicious SQL statement causes an read past the end of a heap buffer.
- CVE-2020-13871 - Malicious SQL statement causes a read-only use-after-free memory error.
- CVE-2020-13632 - Malicious SQL statement causes a read of a NULL pointer in FTS3 extension
- CVE-2020-13631 - Malicious SQL statement causes an infinite loop.
- CVE-2020-13435 - Malicious SQL statement causes a read access to a NULL pointer
- CVE-2020-13434 - Malicious SQL statement integer overflow which can overwrite the stack, DOS
- CVE-2020-11655 - Malicious SQL statement causes a read using an uninitialized pointer
- CVE-2020-9327 - Malicious SQL statement causes a read using an uninitialized pointer
- CVE-2020-6405 - Malicious SQL statement causes a NULL pointer dereference
- CVE-2019-20218 - Malicious SQL statement causes an uninitialized pointer read
- CVE-2019-19959 - Malicious SQL statement causes a NULL pointer dereference in the Zipfile extension
- CVE-2019-19926 - Malicious SQL statement causes an uninitialized pointer read
- CVE-2019-19925 - Malicious SQL statement causes a NULL pointer dereference and in the Zipfile extension
- CVE-2019-19924 - Malicious SQL statement causes a uninitialized pointer reference
- CVE-2019-19923 - Malicious SQL statement causes a NULL pointer dereference
curl 7.74.0
- CVE-2020-8231: libcurl: wrong connect-only connection
- CVE-2020-8286: Inferior OCSP verification
- CVE-2020-8285: FTP wildcard stack overflow
- CVE-2020-8284: trusting FTP PASV responses
Samba 4.9.18
- CVE-2019-14902: Replication of ACLs set to inherit down a subtree on AD Directory not automatic.
- CVE-2019-14907: Crash after failed character conversion at log level 3 or above.
- CVE-2019-19344: Use after free during DNS zone scavenging in Samba AD DC.
- CVE-2020-10704: A flaw was found when using samba as an Active Directory Domain Controller
- CVE-2020-10730: This flaw allows an authenticated user to possibly trigger a use-after-free or NULL pointer dereference
- CVE-2020-10745: This flaw allows a remote attacker could to cause the Samba server to consume excessive CPU use, resulting in a denial of service.
- CVE-2020-10760: A Samba LDAP user could use this flaw to crash samba.
- CVE-2020-14303: A samba user could send an empty UDP packet to cause the samba server to crash.
- CVE-2020-14318: An authenticated user could use this flaw to gain access to certain file and directory information which otherwise would be unavailable to the attacker.
- CVE-2020-14323: A local user could use this flaw to crash the winbind service causing denial of service.
- CVE-2020-14383: Samba is prone to a denial of service vulnerability.
- CVE-2021-20254: A coding error converting SIDs to gids could allow unexpected group entries in a process token.
NodeJS v16.9.1
- CVE-2019-9511: Fixed HTTP/2 implementations that are vulnerable to window size manipulation and stream prioritization manipulation, potentially leading to a denial of service
- CVE-2019-9512: Fixed HTTP/2 flood using PING frames results in unbounded memory growth
- CVE-2019-9513: Fixed HTTP/2 implementation that is vulnerable to resource loops, potentially leading to a denial of service.
- CVE-2019-9514: Fixed HTTP/2 implementation that is vulnerable to a reset flood, potentially leading to a denial of service
- CVE-2019-9515: Fixed HTTP/2 flood using SETTINGS frames results in unbounded memory growth
- CVE-2019-9516: Fixed HTTP/2 implementation that is vulnerable to a header leak, potentially leading to a denial of service (bsc#1146090).
- CVE-2019-9517: Fixed HTTP/2 implementations that are vulnerable to unconstrained interal data buffering (bsc#1146097).
- CVE-2019-9518: Fixed HTTP/2 implementation that is vulnerable to a flood of empty frames, potentially leading to a denial of service
Hinweise
Abkündigungen
Wie wir bereits in den Newslettern berichtet haben, werden einige Funktionen mit dem Upgrade entfernt. Sollten Sie auf eine der Funktion angewiesen sein, melden Sie sich bitte bei uns.
- ISDN spielt für den Internet-Zugang keine Rolle mehr. Bei Fax und Telefon spielt es nur noch in Ausnahmen eine Rolle. Der Linux-Kernel der mit Version 7.2 installiert wird, bietet die verwendete ISDN-Unterstützung nicht mehr an.
- Das Administrationswerkzeug Spotlight ist durch Collax Central ersetzt worden.
- PPTP gilt als unsicher und veraltet. Für Road-Warrior-Verbindungen steht mit IPsec VPN mit IKEv2 eine einfachere, modernere und sicherere Methode bereit.
- Die Netzwerkdrucker-Unterstützung CUPS.
- Der Chat-Server Jabber
- Die Synchronisationsmethode für Dateien Unison. Die zweite Methode Rsync wird erhalten bleiben.
- Der Watchdog-Timer
VPN: Fix für IKEv2 mit Microsoft Windows bricht nach 7,6 Stunden ab
VPN-Verbindungen mit IKEv2 und den Bordmitteln von Microsoft Windows werden nach genau 7,6 Stunden unterbrochen. Der Fehler tritt auf, da Microsoft Windows während der IKE-Neuverschlüsselung andere Algorithmen vorschlägt als bei der ersten Verbindung. Mit einem Registry-Fix lässt sich das Problem beheben, indem der Wert “NegotiateDH2048_AES256” unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters auf 1 gesetzt wird.
Unter folgendem Link finden Sie eine REG-Datei (Registryeintrag) die den Registrierungsschlüssel hinzufügt. Collax übernimmt keine Haftung für Systemfehler, die daraus resultieren.