Release Notes CSG 7.1.24

Collax Security Gateway
07.06.2021

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

GUI: Funktion Passwort anzeigen

Das Hinterlegen eines Passwortes auf der Administrationsoberfläche wurde einheitlich vereinfacht. Die eingegebenen Zeichen werden bei allen Passwortfeldern nur als Punkte dargestellt. Neben dem Eingabefeld gibt es ein Icon, um das Passwort im Klartext anzuzeigen und wieder zu verbergen. Das Feld zur Bestätigung des Passwortes entfällt. Ausnahme ist das Administratorpasswort. Um unbeabsichtigte Änderungen zu verhindern, ist in einem zweiten Feld weiterhin die Bestätigung notwendig.

Net: IPv6: ULA-Generator

Bei IPv6 sollen auch die privaten Netze, soweit möglich, weltweit eindeutig sein. Um die Eindeutigkeit mit einer hohen Wahrscheinlichkeit zu gewähren, wird ein Verfahren empfohlen siehe RFC #4193 , das einen Präfix anhand einer MAC-Adresse und der aktuellen Zeit generiert. Der ULA-Generator generiert konforme Präfixe für die vorhandenen Schnittstellen oder eine beliebige MAC-Adresse.

System-Management: Linux Kernel 4.9.270

Mit diesem Update wird der Linux Kernel 4.9.270 installiert.

In dieser Version behobene Probleme

E-Mail: 1&1 nimmt Mail von Collax-Servern nicht an

Für die Bildung der Absendeadresse von System-Mails wurde bisher der FQDN verwendet, wie er im Formular für die DNS-Konfiguration angegeben ist. Mit diesem Update wird die Mail-Domain verwendet, die im Formular für den SMTP-Versand konfiguriert ist. Ist statt der Mail-Domain ein alternativer SMTP-Server konfiguriert, wird dieser verwendet. Ist auch dieser nicht konfiguriert, wird weiterhin der FQDN verwendet.

Web Proxy: Ausfall Webproxy

Seit dem Update 7.1.22 konnte es in seltenen Fällen zu einem Ausfall des Web-Proxies kommen. Eine dynamisch erzeugte ICMP-Regel der Firewall verhinderte einen Verbindungsaufbau. Die Regel ist mit diesem Update korrigiert.

Net: linkd restartet VPN-Verbindung sobald sie aufgebaut ist

Seit dem Update 7.1.22 konnte es in Multi-WAN Konfigurationen passieren, dass VPN-Verbindungen ständig neu aufgebaut wurden und damit nicht nutzbar waren. Dieses Problem ist mit diesem Update behoben.

Hinweise

E-Mail: Avira AntiVir vor Version 7.1.6

Seitens Avira ist ein automatisches Update der Core-Komponenten von Avira durchgeführt worden. In diesem Zuge ist eine neue Abhängigkeit der Bibliotheken hinzugekommen, die beim nächsten Start des Virenscanners nicht aufgelöst werden kann. Die Folge ist, dass der Virenscanner bei einem Reboot oder einer Konfigurationsänderung nicht neu gestartet wird. Aus Sicherheitsgründen werden dann keine E-Mails mehr zugestellt. Um das Problem zu beheben, aktualisieren Sie Ihren Server bitte auf Version 7.1.6. Hinweis: Solange der Virenscanner nicht neu gestartet wird, arbeitet er im vollen Umfang.

Erfahrene Collax-Administratoren können auch über die Konsole als root das Problem beheben: wget -O /etc/perp/savapisd/rc.main https://download.collax.com/files/rc.main

E-Mail: Mailabholung mit SSL und Server-Zertifikat validieren

Die Komponente zur Mail-Abholung (fetchmail) wurde mit dem Release 7.1.20 aktualisiert. Für die Abholung von E-Mails bei externen E-Mail-Providern kann die Verschlüsselungsmethode SSL/TLS eingesetzt werden. Bei der SSL-verschlüsselten Abholung werden abgelaufene und Self-Signed-Zertifikate des Servers akzeptiert. Ist dies nicht gewünscht, kann mit diesem Release die Option gesetzt werden, Server-Zertifikate validieren.

Wichtig: Es wird empfohlen die Einstellung “Server-Zertifikat validieren” zu aktivieren und zu testen. In der Vergangenheit war es üblich, bei der verschlüsselten Abholung auch abgelaufene und Self-Signed-Zertifikate zu akzeptieren. Dies sollte inzwischen nicht mehr notwendig sein und vermieden werden.

E-Mail: Geändertes Ruleset Format des Spam-Filters SpamAssassin

Beachten Sie: Am 1. März stellt das Projekt SpamAssassin das Format der Ruleset-Updates um. Ab dem Datum erhalten nur noch Systeme Aktualisierungen, die das Update 7.1.10 eingespielt haben.

VPN: Fix für IKEv2 mit Microsoft Windows bricht nach 7,6 Stunden ab

VPN-Verbindungen mit IKEv2 und den Bordmitteln von Microsoft Windows werden nach genau 7,6 Stunden unterbrochen. Der Fehler tritt auf, da Microsoft Windows während der IKE-Neuverschlüsselung andere Algorithmen vorschlägt als bei der ersten Verbindung. Mit einem Registry-Fix lässt sich das Problem beheben, indem der Wert “NegotiateDH2048_AES256” unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters auf 1 gesetzt wird.

Unter folgendem Link finden Sie eine REG-Datei (Registryeintrag) die den Registrierungsschlüssel hinzufügt. Collax übernimmt keine Haftung für Systemfehler, die daraus resultieren.