Release Notes CPS 7.1.2

Collax Platform Server
06.05.2019

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

Security: DNSSEC-Validierung

Mit DNSSEC kann die Authentizität des angefragten DNS-Servers und die Integrität seiner Antwort überprüft werden. Diese Option sollte aktiviert sein, um vor Angriffen mit falschen DNS-Antworten zu schützen. Dieser Dialog befindet sich unter Netzwerk -> DNS -> Optionen.

GUI: Neues Design Benutzer Web-Access

Mit einem Zugang zum Collax Web-Access stehen den Benutzern individuelle Funktionen in der internen Infrastruktur zur Verfügung. Dazu gehört der Zugriff für Web-Mail, Mail-Archiv, SSL-VPN, auf freigegebene Dokumente oder auf die aktivierte Groupware. Ab diesem Update kommt ein neues zukunftsweisendes Design zur Darstellung des Collax Benutzer Web-Access zum Einsatz.

Neben dem schicken, neuen Design halten auch ein paar Verbesserungen Einzug wie der Dark-Mode, ein Kompaktmodus oder das direkte Ausbrechen der Web-Apps in einem neuen Browsertab.

Collax Advanced Networking: Verbesserter Schutz vor Brute-Force-Attacken für SMTP Passwort-Scanner

Grundsätzlich wird bei einer SMTP-Authentifizierung das Passwort im Klartext übermittelt und könnte abgehört werden. Eine sichere, verschlüsselte Übertragung des Passworts ist nur bei der Aktivierung von TLS (Transport Layer Security) gegeben. Mit dieser Option kann sichergestellt werden, dass der SMTP-Dienst eine Authentifizierung nur bei aktiviertem TLS durchführt. SMTP Passwort-Scanner ignorieren die fehlende “AUTH”-Option in der EHLO-Antwort und probieren trotzdem eine Authentifizierung ohne TLS, die nicht “normal” geloggt wird. Diese Scanner probieren es auch nicht mit TLS, was zu den fehlerhaften Login Meldungen führen würde. Mit diesem Release wird ein neuer Filter hinzugefügt, der diese Art von Angriffen erkennt und das System davor schützt.

IKEv2 für ausgehende IPSec-Verbindungen verwenden

Für einen Link vom Typ “IPsec VPN” kann angegeben werden, welches Verfahren zur Benutzerauthentifizierung durchgeführt werden soll. Bei ausgehenden IPsec-VPN-Verbindungen kann mit dieser Option festgelegt werden, dass IKEv2 statt IKEv1 verwendet wird. Diese Option steht nur bei Links des Typs „IPsec VPN“ und dem „Verbindungsaufbau“ „immer“ und „Bei Bedarf“ zur Auswahl.

File: Schnellere Datenübertragung beim Zugriff auf Webfreigaben

Beim Zugriff auf von Collax Servern bereitgestellten Web-Freigaben auf txt/html/js/xml Dateien können große Datenmengen anfallen. Um eine schnellere Übertragung von Webinhalten zu erreichen, können die Daten komprimiert werden (deflate). Auf Kosten einer leicht erhöhten Server-Last, kann das übertragene Datenvolumen um bis zu 70 % bis 80 % reduziert werden. Alle gängigen Browser unterstützen die Dekomprimierung. Die komprimierte Übertragung wird für neu angelegte Webfreigaben per default aktiviert. Bei bestehendes Freigaben wird sie über das Tab “Optionen” im Abschnitt Web-Dienst aktiviert.

System-Management: Hinweis zur automatisierten Übertragung von Nutzungsdaten

Mit diesem Update wird ein Mechanismus implementiert um für die weitere Produktentwicklung wichtige Daten übertragen zu können. Für den Lebenszyklus eines Produkts und seiner Funktionen ist es wichtig Informationen über dessen Nutzung zu erhalten. Für uns ist die Erfassung der Nutzungsdaten ein mächtiges Werkzeug zur Planung der weiteren Produktentwicklung. Gerade die Vielfalt der Funktionen eines Collax Servers erfordert ein fundiertes Abwägen. Vielgenutzte Funktionen sollen stärker in den Fokus für Weiterentwicklungen rücken. Bei wenig oder ungenutzten Funktionen ist zu prüfen, ob und wie sie ersetzt werden können. Unsere Absicht ist es, Entwicklungsressourcen so sinnvoll als möglich in Ihrem Interesse einzusetzen. Denn Ihr Interesse ist auch unser Interesse.

Es werden keine benutzerbezogenen Daten übertragen. Auch keine Daten, die einen Benutzerbezug zulassen (etwa IP-Adressen). Collax speichert die Daten anonymisiert und gibt sie nicht an Dritte weiter.

Bei kostenpflichtig lizenzierten Collax Servern kann die Übertragung abgeschaltet werden. Auf der Administrationsoberfläche kann der komplette Datensatz eingesehen werden.

System-Management: X.509 Zertifikate erneuern

Mit dem Collax Server werden Zertifikate nach dem X.509-Standard verwaltet. Es können nun Zertifikate erneuert werden, die auf diesem Server erstellt wurden. Dabei wird das bestehende Zertifikat durch ein neues Zertifikat ersetzt. Das ursprüngliche Zertifikat wird entfernt. Es besteht die Möglichkeit die Laufzeit, die E-Mail-Adresse, die DNS-Aliasnamen oder den Kommentar zu ändern. Der Private Key und der Public Key werden vom ursprünglichen Zertifikat übernommen. Alle signierten Zertifikate bleiben ihrer CA zugeordnet.

System-Management: Linux Kernel 4.9.171

Mit diesem Update wird der Linux Kernel 4.9.171 installiert.

Changelog

Hardware: Erweiterung der Hardwareunterstützung für Intel Netzwerkkarten

Mit diesem Update werden weitere Netzwerkkarten mit dem ixgbe Intel-Treiber Version 5.5.5, igb Intel-Treiber Version 5.3.5.22, dem i40e Intel-Treiber Version 2.7.29 und dem e1000e Intel-Treiber Version 3.4.2.4 unterstützt. Den aktuellen Stand entnehmen Sie bitte der Hardware-Kompatibilitätsliste.

In dieser Version behobene Probleme

Security: Internet Domain Name Server BIND

Im Quellcode des Internet Domain Name Server BIND wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Die Version 9.11.5-P4 wird installiert und bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):

CVE-2018-5740 / CVE-2018-5738 / CVE-2018-5744 / CVE-2018-5745 / CVE-2019-6465

Security: Fernzugriffprogramm OpenSSH

Im Quellcode von OpenSSH wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Mit diesem Update wird Version 7.9p1 installiert und bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):

CVE-2018-15919 / CVE-2018-20685

Security: MySQL-Administration phpmyadmin

Im Quellcode der MySQL-Administration phpmyadmin wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Mit diesem Update wird Version 4.8.5 installiert und bezieht sich auf folgende CVE-Nummer:

CVE-2019-6799 / CVE-2019-6798 / CVE-2018-19968 / CVE-2018-19969 / CVE-2018-19970

Security: Übertragungsprogramm Curl

Im Quellcode des Übertragungsprogramms curl wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Mit diesem Update wird Version 7.64 installiert und bezieht sich auf folgende CVE-Nummer:

CVE-2018-16890 / CVE-2019-3822 / CVE-2019-3823

Security: Webserver Apache

Im Quellcode des Webservers Apahce wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Mit diesem Update wird Version 2.4.39 installiert und bezieht sich auf folgende CVE-Nummer:

CVE-2019-0211 / CVE-2019-0217 / CVE-2019-0215 / CVE-2019-0197 / CVE-2019-0196 / CVE-2019-0220

E-Mail: Korrigiertes MIME-Filter Verhalten

E-Mails enthalten oft unerwünschte oder gefährliche Inhalte, die nicht an die Benutzer ausgeliefert werden sollten. Durch einen Fehler in der Behandlung von regulären Ausdrücken, konnte es vorkommen, dass E-Mails gefiltert wurden. Bspw. konnte ein MIME-Filter für die Dateiendung “.com” dazu führen, dass die im Body der E-Mail enthaltene Passage “domain.com” fälschlicherweise erkannt wurde. Der reguläre Ausdruck wurde mit diesem Release angepasst und korrigiert.

Collax Advanced Networking: SSL-VPN: Reverse-Proxy Zugriff

Ein Reverse-Proxy erlaubt den Zugriff aus dem Internet auf einen internen Webserver. Hierzu kann eine Webseite bzw. eine Webanwendung, die sonst nur im lokalen Netz erreichbar ist, für ausgewählte Benutzergruppen im Web-Access zugänglich gemacht werden. Die Daten werden, auch für unverschlüsselte HTTP-Seiten, per SSL neu verschlüsselt und übertragen.

Der Reverse Proxy wurde mit diesem Release komplett überarbeitet. Bitte beachten Sie, dass die weitergeleitete Webanwendung den Einsatz eines Reverse Proxies unterstützen muss. Einige Web-Anwendungen stellen dazu Konfigurationsoptionen bereit.

Collax Advanced Networking: SSL-VPN: Importierbare Benutzer

Die SSL-VPN-Funktion „Verbindung“ erlaubt den Fernzugriff über die Benutzerseite auf einen Desktop oder eine Konsole im lokalen Netz. Aufgrund eines Fehlers konnten die Benutzer aus der Benutzerverwaltung eines Active Directory importierten Gruppen keine SSL-VPN Verbindungen angezeigt bekommen. Dies ist mit diesem Release behoben.

Kompression

Wenn Kompression eingeschaltet ist, können einige Pakete, z.B. ICMP Requests, verloren gehen. Ab dieser Version wird Kompression in VPN-Verbindungen deaktiviert. Nichtsdestotrotz wird Kompression benutzt, falls die Gegenstelle dies anfordert.

Verbindungen mit Schlüsselaustausch MD5

Der Hash-Algorithmus MD5 wird in manchen Fällen für die Verschlüsselung von VPN-Tunneln benutzt. Wenn als verwendetes IPSec Proposal nur MD5 und keine weiteren konfiguriert waren und die Gegenstelle MD5 nicht akzeptierte, wurde automatisch auf SHA1 gewechselt. Ab diesem Release wechselt StrongSwan nicht mehr automatisch auf SHA1. Damit der Tunnel aufgebaut werden kann, muß im IPSec Proposal SHA1 explizit ausgewählt werden. Wenn auf der Gegenstelle bessere Hash-Algorithmen als SHA1 eingerichtet werden, werden diese automatisch von StrongSwan verwendet.

Verbindungen mit Schlüsselaustausch SHA2 (256 Bit)

Bei VPN-Verbindungen, die beim Schlüsselaustausch (IKE) den Hash-Algorithmus SHA2 (256 Bit) verwenden, kann es vorkommen, dass die VPN-Verbindung nach einem Upgrade auf Version 7 nicht mehr automatisch etabliert wird. Prüfen Sie dann zunächst das zugerhörige IPsec-Proposal. Um die VPN-Verbindung wieder herstellen zu können, aktualisieren Sie auch die Gegenstelle auf Version 7 oder passen Sie den verwendeten Algorhitmus auf beiden VPN-Verbindungsseiten auf SHA2 (384 Bit) oder höher an.

Hinweise

E-Mail: Erhöhter Platzbedarf bei Nutzung des IMAP-Servers und aktiviertem Volltext-Index

Im Dialog “Mail und Messaging -> Mail Storage -> IMAP und POP3” kann der IMAP-Server aktiviert werden, über die Benutzer Zugang zu Ihrem Postfach erhalten. Innerhalb der Optionen kann durch Aktivierung von “Erstelle Volltext-Index” die Suche innerhalb der IMAP-Ordner und E-Mails für die lokalen IMAP-Ordner beschleunigt werden. Bei aktiviertem Volltext-Index können in Einzelfällen bis zu 20% mehr Platzbedarf zum Release 7.0.12 (bei ebenfalls aktiviertem Volltext-Index) entstehen. Überprüfen Sie daher vor dem Update im Dialog “Status -> System -> Statistiken” für das Dateisystem “data” und den Dienst “cyrus” den Platzverbrauch und ermitteln Sie den Platzbedarf.

E-Mail: Collax Virus Protection powered by Kaspersky vor Version 7

Mit der Version 7 der Collax C-Server wurde die Anti-Virus-Engine und das Format der Pattern aktualisiert. Dies geschah, um auf neue Bedrohungen mit dem bestmöglichen Schutz reagieren zu können. Seit dem 01.01.2018 wurde die Aktualisierung der Patterns für Collax Version 5 und älter von Kaspersky eingestellt. Alle Installationen mit dem Modul Collax Virus Protection sollten daher auf den aktuellen Stand gebracht werden.

E-Mail: Freigabe bereits gelöschter E-Mails in IMAP Postfächern

Im Dialog “Mail und Messaging -> Mail Storage -> IMAP und POP3” kann der IMAP-Server aktiviert werden, über die Benutzer Zugang zu Ihrem Postfach erhalten. Aufgrund einer geänderten Standard Direktive innerhalb des Cyrus IMAP Mailservers wurden seit dem Release V7 bereits durch die Mailclients gelöschte E-Mails nicht vollständig von der Festplatte gelöscht und freigegeben. Seit Release 7.0.22 wird mittels cyr_expire für bereits gelöschte E-Mails der Speicherplatz wieder freigegeben. Beachten Sie bitte, dass damit bereits nach dem Neustart des IMAP Dienstes im Zug des Updates angefangen wird und nach dem Neustart des Servers und damit erneuten Start des IMAP Dienstes damit fortgefahren wird.

E-Mail: Collax Avira AntiVir vor Version 7.0.24

Mit der Version 7.0.24 der Collax C-Server wurde die Anti-Virus-Engine und das Format der Pattern aktualisiert. Dies geschah, um auf neue Bedrohungen mit dem bestmöglichen Schutz reagieren zu können. Patterns für die Versionen vor 7.0.24 werden noch bis zum 31.12.2018 bereit gestellt. Ab dem 01.01.2019 stellt Avira die Aktualisierung der Patterns für Collax Version 7.0.22 und älter ein. Alle Installationen mit dem Modul Collax Avira AntiVir sollten daher auf den aktuellen Stand gebracht werden.

Collax Information & Security Intelligence: Geändertes Mapping der Indizes

Beim Update von Elastic Stack auf 6.4.0 wurde das Mapping der Indizes verändert. Dies verhindert, dass Filebeat die Daten vor und nach dem Update in denselben Index schreiben kann. Das heißt, nachdem das Update durchgeführt wurde, werden die danach angefallenen Daten nicht mehr in den Index aufgenommen. Ab 0:00 Uhr wird von Elastic Stack ein neuer Index angelegt und alle Daten ab diesem Zeitpunkt werden wieder in den Index geschrieben. Die Daten zwischen dem Ende des Updates und Mitternacht gehen somit verloren. Wenn es besser ist auf die Daten vor dem Update zu verzichten, also von 0:00 Uhr bis zum Ende des Updates, kann nach dem Update der Index für den aktuellen Tag über die Aministrationsoberfläche gelöscht werden. Dann gehen alle Daten nach 0:00 Uhr und dem Löschen des Indizes verloren. Kann auf keine Daten verzichtet werden, können die gelöschten Daten nach dem Update über die Upload-Funktion für Log-Dateien auf der Aministrationsoberfläche hochgeladen werden und ggf. doppelte Einträge dedupliziert werden.

Collax Information & Security Intelligence: Schemaänderung

Eine Schemaänderung in Release 7.1.0 macht es notwendig, dass der Elastic Stack und die Beats zum selben Zeitpunkt aktualisiert werden. Führen Sie hierzu das Update des Servers mit dem Elastic Stack und der Server mit den Filebeats unmittelbar nacheinander durch.