Release Notes CPS 7.0.20
Collax Platform Server
08.02.2018
Hinweise zur Installation
Update installieren
Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:
Vorgehen
- Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
- Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
- Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
- Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
- Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.
Neu in dieser Version
GUI: Updateverlauf
In dem Dialog “Verlauf” im Menü “Software -> Systemupdate” kann ab diesem Release der Zeitpunkt eingesehen werden, wann welche Version installiert wurde. Die Funktion steht dabei ab dem Update und nicht rückwirkend zur Verfügung.
Collax Advanced Networking: Quality of Service (QoS)
Die neue Funktion ersetzt das bisherige Bandbreitenmanagement und kann unter “Netzwerk -> Links -> QoS” aktiviert werden. „Quality of Service“ (QoS) bezeichnet Verfahren, bei denen einzelnen Diensten eine bestimmte Verbindungsqualität garantiert wird. Solche Verfahren sind mit zunehmender Nutzung von Echtzeit-Datenverbindungen immer wichtiger. Collax Server bietet die Möglichkeit, solches QoS umzusetzen. Die Implementierung arbeitet unidirektional, d.h. es ist keinerlei Unterstützung durch die Gegenstelle notwendig bzw. möglich. Dabei wird QoS nur auf ausgehende Daten (Egress) angewandt. Der Empfang von Daten (Ingress) kann dagegen nur begrenzt werden. Das implementierte QoS basiert auf der Klassifizierung von IP-Paketen, um durch die Priorisierung eine entsprechend gewünschte Dienstequalität zu erhalten. Diese Klassifizierung geschieht nach dem Schema von Differentiated Services (DiffServ). Hierbei werden sogenannten Code Points (DSCP) kodiert, die wiederum auf bestimmte Weiterleitungsverhalten (engl. Per-hop behaviour PHB) verweisen. Für Experten besteht die Möglichkeit, über die Traffic Policies lokalen Netzwerkverkehr oder bestimmten Netzwerktraffic in der Forward-Queue mit DSCPs zu kennzeichnen und damit die Dienstequalität zu kontrollieren. Das Verhalten der QoS-Implementation ist über Statistik-Grafiken veranschaulicht.
In dieser Version behobene Probleme
Security: ClamAV
Im Quellcode des Virenscanners ClamAV wurden Sicherheitslücken entdeckt, über die der Mail-Filter angreifbar ist. Das ClamAV-Paket 0.99.3 stand bereits seit dem 26.01. außerhalb des Release-Zyklus zur Verfügung. Es wurde automatisch installiert, wenn der Collax Server auf die Version 7.0.18 aktualisiert wurde. Für Server, die bereits Version 7.0.18 aufwiesen, konnte das Paket per Systemupdate nachinstalliert werden. Collax empfiehlt dringend, das bereitgestellte Paket einzuspielen. Siehe heise Security
Angreifer versuchen mindestens eine der Lücken in größerem Stil auszunutzen. Mit manipulierten PDF-Dateien können sie einen Denial of Service (DoS) provozieren. Die Version ClamAV 0.99.3 wird installiert und bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):
Security: Meltdown und Spectre - Gravierende Prozessor-Sicherheitslücke
Experten haben bei aktuellen Prozessoren verschiedener Hersteller kritische Sicherheitslücken entdeckt und unter den Namen Meltdown und Spectre veröffentlicht. Meltdown ist die Sicherheitslücke, die unprivilegierten Prozessen das Lesen von Kernel-Memory erlaubt. Spectre ist die Sicherheitslücke, die ausnutzt, dass CPUs viele Befehle spekulativ im Voraus ausführen (Speculative execution), was dazu führt, dass Speicherbereiche abgegriffen werden können. Dieses Update installiert eine Funktion gegen Spectre Variant 2 namens Retpoline, die im Linux Kernel implementiert wurde. Diese Schutzfunktion ist nicht auf Microcode Updates seitens der Prozessorhersteller angewiesen. Informationen zu Retpoline finden Sie hier .
Weitere Informationen zu Meltdown und Spectre finden Sie hier .
Collax Sicherheitsempfehlung hier .
Heise FAQ hier .
Security: Internet Domain Name Server Bind
Im Quellcode des Internet Domain Name Server Bind wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen. Siehe BIND 9.9.11-P1 Release Notes
Mit diesem Update wird die Version bind 9.9.11-P1 installiert und bezieht sich auf folgende Common Vulnerabilities and Exposure (CVE): CVE-2017-3145
Security: Besserer Schutz vor Cross-site scripting Attacken
Mit diesem Update wurde die Apache Direktive TraceEnable abgeschalten. Der TRACE Befehl konnte in XSS-Angriffen verwendet werden und sollte deaktiviert werden. Dies bezieht sich auf folgende Common Vulnerabilities and Exposure (CVE): CVE-2004-2320
GUI: Ereignis Adminpage logout
Im Dialog im Menü “Logging/Monitoring -> Ereignislog” kann das System bei bestimmten Ereignissen selbständig eine E-Mail an den Administrator schicken. Aufgrund eines Fehlers im Programmcode tauchte in der Abmeldeemail kein Username auf, im Gegensatz zur Anmeldung am System. Mit diesem Update wird der Fehler korrigiert.
Collax Advanced Networking: Vererbung von Traffic-Policies aus übergeordneten Netzwerkgruppen
Um die Funktionen Policy-Routing nutzen zu können, müssen Netzwerkpakete markiert werden. Für die Kennzeichnung werden hierzu die Traffic-Policies benutzt. Aufgrund eines Fehler im Programmcode des Firewallgenerators wurden Traffic-Policies nicht korrekt aus übergeordneten Netzwerkgruppen übernommen. Dies wird mit diesem Update behoben.
Hinweise
E-Mail: Erhöhter Platzbedarf bei Nutzung des IMAP-Servers und aktiviertem Volltext-Index
Im Dialog “Mail und Messaging -> Mail Storage -> IMAP und POP3” kann der IMAP-Server aktiviert werden, über die Benutzer Zugang zu Ihrem Postfach erhalten. Innerhalb der Optionen kann durch Aktivierung von “Erstelle Volltext-Index” die Suche innerhalb der IMAP-Ordner und E-Mails für die lokalen IMAP-Ordner beschleunigt werden. Bei aktiviertem Volltext-Index können in Einzelfällen bis zu 20% mehr Platzbedarf zum Release 7.0.12 (bei ebenfalls aktiviertem Volltext-Index) entstehen. Überprüfen Sie daher vor dem Update im Dialog “Status -> System -> Statistiken” für das Dateisystem “data” und den Dienst “cyrus” den Platzverbrauch und ermitteln Sie den Platzbedarf.
E-Mail: Collax Virus Protection powered by Kaspersky vor Version 7
Mit der Version 7 der Collax C-Server wurde die Anti-Virus-Engine und das Format der Pattern aktualisiert. Dies geschah, um auf neue Bedrohungen mit dem bestmöglichen Schutz reagieren zu können. Seit dem 01.01.2018 wurde die Aktualisierung der Patterns für Collax Version 5 und älter von Kaspersky eingestellt. Alle Installationen mit dem Modul Collax Virus Protection sollten daher auf den aktuellen Stand gebracht werden.