Release Notes CSG 7.2.18

Collax Security Gateway
02.05.2023

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf Menu → Software → Systemupdate und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

Antivirus Mail-Filterung: Ausnahmen bei nicht überprüfbaren E-Mails

Verschlüsselte E-Mails oder kennwortgeschützte Anhänge können von einem Virenscanner nicht bis in das letzte Detail überprüft werden. Der Administrator kann entscheiden, wie mit diesen generell umgegangen wird. Bisher konnte man für PGP-verschlüsselte E-Mails Ausnahmen machen. Mit diesem Update kann auch eine abweichende Behandlung von kennwortgeschützten Archiven (z. B. .zip, .rar) und Dokumenten (z. B. .pdf, .docx) konfiguriert werden. Damit ist es möglich diese wie gewohnt an den Empfänger zu senden.

Zusatz-Software: Angepasste Standartwerte für Bitdefender Anti-Spam

Bitdefender Anti-Spam kombiniert gleich mehrere Technologien zur Spam-, Phishing- und Malware-Erkennung, um Cyberbedrohungen im E-Mail-Verkehr zu erkennen und abzuwehren. Von Bitdefender erkannte Spam-Mails werden einer Kategorie zugeordnet. Diesen Kategorien können unterschiedliche Punktwerte zugeordnet werden, der dann in den Gesamtwert einfließt. Mit diesem Release werden die Standardwerte für die Verteilung von Punkten angepasst.

System-Management: Linux Kernel 5.10.178

Mit diesem Update wird der Linux Kernel 5.10.178 installiert.

GUI: Suchfunktion der Administrationsoberfläche

Die unscharfe Suche (“fuzzy search”) auf der Administrationsoberfläche zeigt nun während des Tippens bereits erste Ergebnisse an. Es werden somit auch Treffer angezeigt, die ähnlich, aber nicht zu 100 % mit der Eingabe übereinstimmen. Die vorab angezeigten Treffer sind aus Performance-Gründen auf Begriffe in den Formularen begrenzt. Treffer von Elementen werden dann nach dem Absetzen der Suche gefunden.

Security: StrongSwan IPsec

Strongswan, die Software für den Aufbau von VPNs per IPsec, wird auf die Version 5.9.10 geupdatet. Eine Schwachstelle im Zusammenhang mit der Zertifikatsüberprüfung in TLS-basierten EAP-Methoden wurde in strongSwan entdeckt, die zu einer Dienstverweigerung und möglicherweise sogar zur Remotecodeausführung führt.

Die Version bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):

  • CVE-2023-26463
  • CVE-2022-40617
  • CVE-2021-45079
  • CVE-2021-41991
  • CVE-2021-41990

Security: Wichtige sicherheitsrelevante Systempakete

Im Quellcode wichtiger Systempakete wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Die Fehlerbehebung bezieht sich auf die Pakete

  • mariadb-10.5.16
  • apache 2.4.57
  • ghostscript-9.56.1
  • libicu
  • ImageMagick-7.1.1-7
  • sqlite3 3.41.2
  • freetype 2.13.0
  • libnss
  • isc-dhcp
  • gnutls28_3.6.7-4+deb10u10
  • fribidi
  • apr-utils

Anbei ein Auszug der bekanntesten Pakete und CVE Nummern.

  • CVE-2022-25308
  • CVE-2022-25309
  • CVE-2022-25310
  • CVE-2023-0361
  • CVE-2022-2928
  • CVE-2022-2929
  • CVE-2021-43527
  • CVE-2022-22747
  • CVE-2023-2004
  • CVE-2022-31782
  • CVE-2022-27406
  • CVE-2022-27405
  • CVE-2022-27404
  • CVE-2022-35737
  • CVE-2021-30535

In dieser Version behobene Probleme

Zusatz-Software: Bitdefender Anti-Spam

Durch einen Fehler in der Verarbeitung von kennwortgeschützten Dokumenten durch den Virenscanner Bitdefender kam es in einigen Fällen vor, dass E-Mails vorübergehend in der Mail-Queue verblieben und verzögert zugestellt wurden, begleitet von der Fehlermeldung “Scanner failed”. Mit diesem Release wurde dieser Fehler behoben.

Security: ClamAV

Im Quellcode des Virenscanners ClamAV wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen.

Die Version ClamAV 1.0.1 wird installiert und bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):

  • CVE-2023-20032: Fixed a possible remote code execution vulnerability in the HFS+ file parser.
  • CVE-2023-20052: Fixed a possible remote information leak vulnerability in the DMG file parser.

Hinweise

Zusatz-Software: Bitdefender - Proxy für Updates

Die Updates der Virenmuster (Pattern) werden nach einem eingestellten Zyklus durchgeführt. Für das Patternupdate des Bitdefender Viren- und Spamfilters ist momentan die Benutzung eines http-Proxies nicht möglich.

Zusatz-Software: Bitdefender - Patternupdate nach Inbetriebnahme

Nach Inbetriebnahme des Moduls Collax Antivirus powered by Bitdefender kann es einige Minuten dauern, bis die aktuellen Virenmuster (Pattern) heruntergeladen wurden. Klickt man währenddessen im Virenscanner Formular auf Bitdefender aktualisieren, kommt es zu einer Fehlermeldung “Error connecting to server at /opt/lib/bitdefender//bdamsocket: -3”, da der Hintergrundprozess noch nicht vollständig ausgeführt wurde.

GUI: Laufende Jobs hängen sporadisch

Der Fortschritt der Konfigurationsjobs wird in der rechten oberen Ecke der Webadministration angezeigt. Bei umfangreichen Änderungen im Berech Netzwerk, allen voran im Bereich Ländersperre (geo-ip) kann in seltenen Fällen die Job-Anzeige der Aktivierung hängen und zu einem Timeout führen. Für Updates bis Release 7.2.14 erschien zusätzlich die Meldung “ipset v7.11: Set cannot be destroyed: it is in use by a kernel component” die zu Unsicherheit führte konnte. Die Änderungen werden allesamt korrekt übernommen und es handelt sich hier lediglich um ein kosmetisches Problem. Bis der Fehler vollständig behoben ist, können Sie sich mit einem Reload des Browserfensters behelfen.

VPN: Fix für IKEv2 mit Microsoft Windows bricht nach 7,6 Stunden ab

VPN-Verbindungen mit IKEv2 und den Bordmitteln von Microsoft Windows werden nach genau 7,6 Stunden unterbrochen. Der Fehler tritt auf, da Microsoft Windows während der IKE-Neuverschlüsselung andere Algorithmen vorschlägt als bei der ersten Verbindung. Mit einem Registry-Fix lässt sich das Problem beheben, indem der Wert “NegotiateDH2048_AES256” unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters auf 1 gesetzt wird.

Unter folgendem Link finden Sie eine REG-Datei (Registryeintrag) die den Registrierungsschlüssel hinzufügt. Collax übernimmt keine Haftung für Systemfehler, die daraus resultieren.