acIT FAQ - Securepoint Change Log
+========================================+
| Version: 12.7.2.1 |
+========================================+
Bugfixes:
Bei SSL-VPN Verbindungen konnten falsche Subnetze an die Gegenstellen gesendet werden.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.7.2 |
+========================================+
Maintenance / Security Bugfix:
Operating System:
Aktualisierung von OpenSSL (CVE-2024-4741, CVE-2024-4603, CVE-2024-2511).
Fehler bei der Verarbeitung von IPv6 Adressen behoben (CVE-2024-41993).
VPN Client wurde auf 2.0.42 aktualisiert.
Features:
Bei Neuinstallationen ist die nginx Engine für den Reverse Proxy als Standard konfiguriert.
Zur Windows-Domain Dienstgruppe wurden weitere Portfreigaben hinzugefügt.
Neue Dienstgruppe für Securepoint Unified Backup Ports hinzugefügt.
Beim HTTP Proxy lassen sich Ikarus Viruscan Pattern cachen.
Beschreibung zur Erkennung und Kennzeichnung potentiell gefälschter Links in E-Mails wurde im Administrations-Webinterface überarbeitet.
Für den Paketfilter wurden weitere IPv6 ICMP Typen hinzugefügt.
Bugfixes:
Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen verbessert: Mailfilter, Logging, Wireguard und Zertifikate.
Anlegen neuer Benutzer mit mehreren Gruppen funktionierte nicht.
Für das Mailrelay sind ausgehende IP-Adressen, welche einer BOND-Schnittstelle zugewiesen sind, erlaubt.
Fehler behoben, bei welchem der NGinx Engine Reverse Proxy bei gleichzeitiger Aktivierung von NTLM und Websocket nicht startet.
Validierung für falsche req_header ACL Einträge beim NGinx Engine Reverse Proxy verbessert.
Bei Wireguard wurde eine AllowedIP Freigabe 0.0.0.0/0 nicht richtig verarbeitet.
Für Azure/Entra ID schlug eine Authentifzierung fehl, wenn Passwörter mit Plus-Zeichen verwendet wurden.
Eine Websession konnte mit bereits abgelaufenen Benutzern gestartet werden.
Ein über USC Profile konfiguriertes Cloudbackup wurde erst nach einem Neustart gesetzt.
Fehler für den ACME LetsEncrypt Dienst behoben, bei welchen es Probleme mit Großbuchstaben beim Subject Alternative Name gab.
Revert - Verbesserung der neuen Funktion "DNS Server vom Provider nutzen" bei Multipathrouting wird vorerst nicht in das Public Relase übernommen.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.7.1.3 Reseller Preview |
+========================================+
Bugfixes:
Unter Umständen wurden im Mailfilter URLs nicht korrekt verarbeitet, was dazu führte, dass E-Mails falsch behandelt wurden.
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.7.1.2 Reseller Preview |
+========================================+
Maintenance / Security Bugfix:
Behebung einer kritischen Sicherheitslücke durch Aktualisierung des SSH Dienstes auf Version 9.8p1 (CVE-2024-6387).
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.7.1.1 Reseller Preview |
+========================================+
Maintenance / Security Bugfix:
Default Regelwerk-Engine nftables wurde vorübergehend wieder durch iptables ersetzt.
Ein Wechsel per CLI ist wie folgt möglich:
system rule_engine set value "iptables"
bzw.
system rule_engine set value "nftables"
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.7.1 Reseller Preview |
+========================================+
Maintenance / Security Bugfix:
Aktualisierung des Linux-Kernels (CVE-2024-1086).
Aktualisierung der Virencanner Engine.
Aktualisierung des Mailscanners.
Neue Features:
Regelwerk-Engine iptables wurde durch nftables ersetzt.
Erkennung und Kennzeichnung potentiell gefälschter Links in E-Mails wurde überarbeitet.
Dryrun führt nun bei Datenbankkonvertierungsfehlern einen automatischen Rollback durch.
Reverse Proxy mit nginx unterstützt nun NTLM.
Administration-Webinterface:
Wireguard Verbindungen können nun auch gezielt für lokal konfigurierte Benutzer angelegt werden.
Validierung von Schlüsseln die Wireguard-Verbindungen hinzugefügt werden wurde verbessert.
Die Menüpunkte "Erweiterte Einstellungen" und "Templates" sind nun direkt verfügbar.
DHCP Relay wurde um einen Debug-Modus erweitert.
Darstellung der Appliance im Widget wurde für größere Geräte überarbeitet.
Bugfixes:
Icon von Netzwerkobjekt mit 0.0.0.0/0 wurde falsch angezeigt.
An einigen Stellen wurde die Auswahl von Zertifikaten überarbeitet so dass nur Zertifikate mit privatem Schlüssel gewählt werden können.
Fehlerhaftes Verhalten der englischen Admin-Benutzeroberfläche behoben.
"WireGuard Einstellungen aus der Gruppe verwenden" im Benutzer Hinzufügen-Dialog war fehlerhaft.
Wireguard Benutzer-Peers wurde nach einem Neustart der Appliance nicht korrekt geladen.
Paketfilterregeln konnten innerhalb einer Regelgruppe nicht mehr verschoben werden.
Speichern des IPSec Phase 2 Dialogs erzeugte eine Fehlermeldung.
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.7.0 Reseller Preview |
+========================================+
Maintenance / Security Bugfix:
Operating System:
Aktualisierung des Betriebssystems und aller Komponenten.
Aktualisierung der DHCP Komponenten.
Neue Features:
Beim Reverse Proxy lässt sich eine neue NGinx Engine konfigurieren.
Das Logging lässt sich direkt in der tabellarischen Ansicht des Paketfilters konfigurieren.
Statische DHCP Leases werden nach Pools gruppiert.
Eine farbliche Hervorhebung lässt sich beim Log einstellen.
Das CLI-Terminal ist im Administrations-Webinterface andockbar und in der Größe veränderbar.
Implizite Regeln sind über eine kachelbasierte Ansicht einstellbar.
Administration-Webinterface:
Lokale Konfigurationen lassen sich kopieren.
Beim Anlegen von Netzwerkobjekten werden Zonen automatisch nach Routen ausgefüllt.
Beim Webfilter lassen sich auch Regeln kopieren.
Hinzufügen Dialog für IPv6 Routen wurde optimiert.
Optimierung der "DNS Server vom Provider nutzen" Funktion bei Multipathrouting.
Neue Warnung beim Ausloggen und Schließen des Browsertabs wird angezeigt, falls noch ungespeicherte Änderungen vorliegen.
Netzwerkobjekte und Leases sind in der Netzwerktopologie löschbar.
Warnung beim Aktivieren des Cluster Wartungsmodus über eine Websession wird ausgegeben.
Wireguard:
Interfaces in der Zone "internal" oder "firewall-internal" als Allowed IPs werden nun markiert.
Warnung beim Löschen von aktuell verwendeten WireGuard Keys wird angezeigt.
Mailfilter:
Tag-System wurde angepasst.
Allen E-Mails wird ihr Hash Wert in das Kopf Feld "X-Securepoint: FHASH" eingetragen.
Hash Werte werden zur Auswertung an Securepoint gesendet.
Bugfixes:
Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: Paketfilter, Mailfilter, Appliance Widget, Zertifikate, QoS, Netzwerkkonfiguration und Responsive Design.
Limitierung für Mailtag Namen wurde eingebaut.
Mailconnector Multidrop Oberfläche war nicht mehr nutzbar, wenn ein Custom Envelope Header genutzt wurde.
Ein Deaktivieren von Router Advertisement löschte darüber angelegte Netze nicht.
Ansprache und Datumsformat im Spam Bericht wurde geändert.
Wake on LAN (WOL) verwendet nun mehrere Zielports.
Prefix Delegation war unter Umständen fehlerhaft.
Neue Wireguard Peers konnten mit der Option "Schlüssel direkt eingeben" nicht gespeichert werden.
Achtung: Es kann vereinzelt vorkommen, dass bestehende Tags nicht mehr korrekt greifen. Nach dem erneuten Hinzufügen einer entsprechenden E-Mail zu einem Tag, funktioniert der Filter wieder korrekt.
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.6.5.1 |
+========================================+
Maintenance / Security Bugfix:
Behebung einer kritischen Sicherheitslücke durch Aktualisierung des SSH Dienstes auf Version 9.8p1 (CVE-2024-6387).
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.6.5 |
+========================================+
Maintenance / Security Bugfix:
Fehler behoben, durch den unter Umständen OTP Codes nicht korrekt validiert wurden.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.6.4.2 |
+========================================+
Bugfixes:
Bei IPSec Verbindungen mit IKEv1 konnte der Phase 1 Dialog nicht gespeichert werden.
Ein über die USC Profile gesetztes Cloud Backup Passwort konnte unter Umständen im Klartext im Audit Syslog auftauchen.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.6.4.1 |
+========================================+
Bugfixes:
Fehler behoben, durch den lokale SSL-VPN Site-to-Site Client Verbindungen nicht mehr editiert werden konnten.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.6.4 |
+========================================+
Bugfixes:
Das Laden von importierten Konfigurationen mit mehr Schnittstellen als aktuell auf der Maschine verfügbar hat zu Problemen geführt.
Das Setzen von leeren Werten im Mailarchivdialog wird verhindert.
Beim Setzen von sysctl Variablen wurde das VLAN Namensschema nicht berücksichtigt.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.6.3 |
+========================================+
Bugfixes:
Fehler behoben, durch den eine falsche Verlinkung in der HTTP-Proxy Statistik angezeigt wurde.
Für SNMP war die Ausgabe der VPN-Verbindungen bei einer hohen Anzahl nicht vollständig.
Systemweite Proxy-Einstellungen werden nun von GeoIP-Updates und Cloudbackups verwendet.
Unter Umständen wurde der RNDC-Key des Nameserver Dienstes nicht erfolgreich erneuert.
IP-Adressen wurden nicht richtig vom Systemweiten Proxy übernommen.
Lokale Benutzer konnten fälschlicherweise in zwei Wireguard-Konfigurationen erscheinen.
Mögliche Neustart-Probleme des Namensauflösungsdienstes behoben.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.6.2 |
+========================================+
Maintenance / Security Bugfix:
Operating System:
Aktualisierung des Betriebssystems und Komponenten.
Aktualisierung des Nameservers (CVE-2023-50387,CVE-2023-50868,CVE-2023-5517,CVE-2023-5679).
VPN Client wurde auf 2.0.41 aktualisiert.
Fehler in der Upload Funktion des Webinterfaces behoben.
Features:
Administration-Webinterface:
USC-Profil Funktion kann nun aktiviert werden.
Im Datenschutz Dialog lässt sich die Anonymisierung der Anwendungen nun kollektiv aktivieren und deaktivieren.
Bei eingeschalteter Cluster-Konfiguration ist das Administrations-Webinterface deutlich zwischen dem Aktiven und Passiven Cluster unterscheidbar.
Verhalten der Mailfilter TNEF Verarbeitung kann spezifischer eingestellt werden.
Das DHCP Widget wird nicht mehr unterstützt und enthält eine Verlinkung zum neuen Netzwerktopologie-Dialog.
Statische Leases sind im Netzwerktopologie-Dialog einzusehen.
Automatische Firmwareaktualisierungen lassen sich nun auch bei aktivierter USC nutzen.
Sonstiges:
Eine Drosselung für eingehende UDP und TCP Pakete ist über die CLI konfigurierbar und bei Neuinstallationen für UDP auf dem externen Interface aktiviert.
SNMP Abfragen für eine IPSec Verbindung mit mehreren Subnetzen sind nun möglich.
Der Umfang der Wake on LAN Funktion wurde optimiert.
Bugfixes:
Fehler behoben, bei welchem eine Default Route nach einem UTM Neustart nicht gesetzt wurde.
Eine fehlerhafte Konfiguration einer OpenVPN Verbindungen konnte eine erhöhte Systemlast hervorrufen.
Unter Umständen konnten IPv4 Adressen vom DHCP Client nicht bezogen werden.
Das Verhalten der DHCP-Prüfung während des Logins beim Administrations-Webinterfaces wurde optimiert.
Generierte PDF OTP QR-Codes wurden unter Umständen nicht vollständig angezeigt.
Falsche Ausgabe für das OpenVPN Status Widget wurde behoben.
Der Login am Administrations-Webinterface konnte während des Herunterladens einer neuen Firmware zeitweise blockiert werden.
Wireguard Konfigurationen mit auschließlich Benutzer-Peers wurden nicht korrekt geschrieben.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.6.1 Reseller Preview |
+========================================+
Features:
Administration-Webinterface:
Es lässt sich ein Dark Mode einstellen.
Bond Schnittstellen lassen sich anlegen und konfigurieren.
Auswahl der SSL Interception wurde für den HTTP Proxy überarbeitet.
Einheiten sind in Gbit/s für QoS einstellbar.
IPSec:
Hinweis Meldung erscheint bei Verwendung des älteren IKEv1 Protokolls.
SSL-VPN:
SSL-VPN Verbindungen können nun mit TLS-Auth oder TLS-Crypt konfiguriert werden.
Cluster:
Virus-Patterns und GeoIP Datenbank lassen sich über einen CLI Befehl zur Spare übertragen.
SNMP:
SNMP Abfragen zum Wireguard Status ist nun möglich.
Sonstiges:
Beim IGMP Proxy Dienst lässt sich eine Allowlist konfigurieren.
Bugfixes:
Fehler behoben, bei welchem eine Firmware Übertragung auf die Spare nicht funktionierte.
Bei der E-Mail-Statistik wurde die Liste der einzelnen Kategorien nicht vollständig angezeigt.
Log Cloud Meldungen ließen sich nicht herunterladen.
Unter Umständen konnten Paketfilter Regeln nicht mehr aktualisiert werden, sobald eine Regel mit einem Full Cone NAT samt Dynamischen Hostnamen konfiguriert wurde.
Das Auflösen von URL-Shortener Adressen war mit dem HTTP Proxy manchmal fehlerhaft.
Support-Benutzer konnten nicht mit aktivierten OTP-Optionen betrieben werden.
Fehler behoben bei welchem eine große Anzahl von VLANs nicht sofort nach dem Neustart zur Verfügung standen.
VLAN Schnittstellen konnten keine DHCP Client Adresse beziehen.
Validierung von Falsch eingegebenen IP Adressen wurde für den DHCP Pool Dialog angepasst.
Bei einer verzögerten Internet Einwahl wurde das UTM Autoupdate nicht abgeschlossen.
Unter Umständen wurden bei IPSec Verbindungen die Tunnel SAs nicht gelöscht.
Eine Speichern und Schließen Aktion funktionierte nicht beim SSL-VPN Wizard.
Eine laufende USC Websession wurde beendet, sobald ein Cloud-Backup Passwort gesetzt wurde.
Validierung von Falsch eingegebenen Nameserver Einträgen wurde verbessert.
Fehler behoben, bei welchem kein Prefix für die WAN Schnittstelle gesetzt wurde nach Modem neustart.
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.6.0.1 Reseller Preview |
+========================================+
Maintenance / Security Bugfix:
Hintergrundfarbe der Benutzeroberfläche wurde angepasst.
Bugfixes:
Fehler behoben bei welchem Freigegebene OpenVPN Servernetzwerke nicht angezeigt wurden.
Beim Mailrelay ließ sich kein DKIM Signierung Eintrag einstellen.
Unter Umständen konnten IPv4 und IPv6 Adressen vom DHCP Client nicht bezogen werden.
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.6.0 Reseller Preview |
+========================================+
Maintenance / Security Bugfix:
Operating System:
Aktualisierung des Betriebssystems und aller Komponenten.
Aktualisierung vom SSH Dienst auf Version 9.6p1 (CVE-2023-48795).
Aktualisierung vom DHCP-Client.
Das SOC Feature wird nicht mehr unterstützt.
Features:
Administration-Webinterface:
Benutzeroberfläche wurde mit einem neuen Design vollständig überarbeitet.
Konfiguration lässt sich mithilfe einer Tastenkombination speichern.
Es lassen sich vordefinierte Syslog Filter im Live-Log auswählen.
Der aktuelle USC Verbindungsstatus wird angezeigt.
Ein bereits vorhandener Support-Benutzer lässt sich löschen und neu anlegen.
Das "Cockpit" wurde in "Dashboard" umbenannt.
Der "Portfilter" wurde in "Paketfilter" umbenannt.
Das DHCP-Widget wurde durch einen neuen Netzwerktopologie-Dialog ersetzt.
Wireguard:
Standardisierte Konfigurationen lassen sich im Wiregurad-Wizard speichern.
Der Status der impliziten Wireguard-Regel wird mit angezeigt.
X25519 Schlüssel lassen sich mit einem Private-Key für Peers konfigurieren.
IPSec:
Es lassen sich mehrere Ciphersuite-Optionen für IKEv2 auswählen.
Cluster:
Der system info Befehl gibt auch Informationen zum aktuellen Cluster Status aus.
ACME:
Account-Schlüssellänge lässt sich einstellen.
SNMP:
Name einer OpenVPN Verbindung lässt sich auslesen.
Mailfilter:
Anhand von ausgewählten E-Mails lassen sich Patterns zum gezielten Blocken erstellen.
Erkennung von möglicherweise gefälschten Links in E-Mails wurde hinzugefügt.
Alerting Center:
Testberichte lassen sich manuell abschicken.
Initiale Installation:
Schlüssellänge ist für CA und Serverzertifikat einstellbar.
Packetfilter:
Automatisch generierte Gruppen sind konfigurierbar.
Sonstiges:
Ein IGMP Proxy Dienst lässt sich konfigurieren.
Ein MDNS Repeater kann auf bestimmten Schnittstellen eingerichtet werden.
Statische IPv6 Routen mit einer Gateway-IP lassen sich einer Schnittstelle direkt zuordnen.
Schnittstellen Fallback Funktion lassen mehrere Ping Check Ziele zu.
Beim Verändern von Schnittstellen können betroffene Netzwerkobjekte dynamisch angepasst werden.
Beim Router Advertisement lässt sich für die jeweilige Schnittstelle einstellen, ob sowohl IPv4 und IPv6 Adressen vergeben sollen oder nur IPv4.
Radius Timeout für SSL-RW OpenVPN Verbindungen ist über die CLI konfigurierbar.
Verwendung des Provider DNS Servers lässt sich beim Nameserver Dienst ein- und ausschalten.
Bugfixes:
Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert.
Authentifizierung mit E-Mail Adressen funktionierte nicht mit Entra ID (Azure AD).
Doppelte Leerzeichen im Namen einer CA verhinderten das laden von IPSec Verbindungen.
Beim "DHCP Lease Hinzufügen" Dialog wurden Doppelpunkte im Leasenamen für IPv6 Verbindungen vorgeschlagen.
Proxy Widget Statistiken wurden nicht vollständig aktualisiert.
Im Alerting Center Log wurden einzelne Platzhalter nicht richtig ersetzt.
PPTP Interface hinzufügen Fehlermeldung wurde korrigiert.
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.5.5 |
+========================================+
Maintenance / Security Bugfix:
Behobene Sicherheitslücke im Zusammenhang mit dem Postfix Dienst (CVE-2023-51764).
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.5.4.1 |
+========================================+
Maintenance / Security Bugfix:
Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst (CVE-2023-49286, CVE-2023-49285).
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.5.4 |
+========================================+
Bugfixes:
Bei Verwendung des Traceroute Netzwerktools wurde unter Umständen das Ergebnis stark zeitverzögert oder gar nicht angezeigt.
Beim Mailscanner wird das FILTERED Flag im Syslog nun nur noch angezeigt, falls der Body verändert wurde, sowie bei Anwendung der TNEF-Decodierung.
SNI Validierung beim HTTP Proxy ließ sich nicht über das Administrations-Webinterface deaktivieren.
Fehler behoben, durch den keine Verbindung zu einem SSL-VPN Tunnelblick Client aufgebaut werden konnte.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.5.3.1 |
+========================================+
Bugfixes:
Unter Umständen konnten IPSec Verbindungen eine erhöhte Systemlast hervorrufen.
Fehler behoben, bei welchem eine Authentifizierung am Captive Portal mit abgelaufenen Captive Portal Benutzern weiterhin möglich war.
Captive Portal Paketfilter Regel wurde nicht mehr erkannt und konnte nicht mehr angelegt werden.
Eine SNMP Abfrage des IPSec Statuses war nach einem Neustart nicht möglich.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.5.3 |
+========================================+
Maintenance / Security Bugfix:
Korrigierte Sicherheitslücken im Zusammenhang mit dem HTTP Proxy Dienst (CVE-2021-46784, CVE-2022-41317).
Hinweis: Es liegen nicht für alle korrigierten Sicherheitslücken CVEs vor.
Aktualisierung von OpenSSL (CVE-2023-4807).
Aktualisierung des Linux-Kernels.
Aktualisierung des Virenscanners.
Bugfixes:
Fehler bei der CLI Autovervollständigung wurde behoben.
Fehler behoben, bei welchem die Wireguard Konfiguration nicht gelöscht wurde.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.5.2 |
+========================================+
Maintenance / Security Bugfix:
Aktualisierung von curl (CVE-2023-38545, CVE-2023-38546).
Aktualisierung von glibc (CVE-2023-4911).
Webserver Zertifikate werden beim erneuten Generieren und Neu-Installationen nun mit einer 4096-Bit-RSA Schlüssellänge erstellt.
Standard RSA Schlüssellänge wurde bei Neu-Installationen für ACME Accounts auf 3072-Bit erhöht.
Features:
USC / USR:
Bestimmte USC Befehle erfordern zum Ausführen nun einen gesetzten Websession-PIN.
HTTP-Proxy:
Beim HTTP Proxy lassen sich nun SSL-Interception Ausnahmen für SNI aktivieren.
Bugfixes:
Fehler behoben durch den SSL-VPN Clientnetzwerke sich nicht bearbeiten ließen.
Unter Umständen wurde der IPSec Status für bestehenden Verbindungen falsch angezeigt.
AD/LDAP Einstellungen unterstützen nun IPv6.
Ein widerrufenes Client Zertifikat wurde beim Reverse Proxy nicht richtig übermittelt.
Fehler behoben durch den Benutzernamen mit Leerzeichen nicht mit NTLM Authentifizierung beim HTTP Proxy funktionierten.
Netzwerkobjekte welche Hostnamen beinhalten werden nun im Administrations-Webinterface gekennzeichnet.
Beim HTTP Proxy war es nicht möglich VLAN Adressen als ausgehende IP einzustellen.
Beim Administrations-Webinterface wurden nicht alle Informationen für Netzwerkobjekte angezeigt.
Fehler behoben durch den eine ACME Zertifikatserneuerung nicht ausgeführt wurde.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.5.1 Reseller Preview |
+========================================+
Maintenance / Security Bugfix:
Aktualisierung von Komponenten.
VPN Client wurde auf 2.0.40 aktualisiert.
Reseller Preview Versionen werden nun gesondert kenntlich gemacht.
Features:
Operating System:
SSL Legacy Support ist nun im Webinterface konfigurierbar. Es wird nicht empfohlen diese Option zu verwenden.
IPv4/IPv6 route hints lassen sich nun auch vergeben, wenn die jeweils andere IP Version mit DHCP eingestellt ist.
USC / USR:
Zu UTMs ohne öffentliche Adresse, die mit dem Portal verbunden sind, kann nun eine Websession geöffnet werden.
Websessions sind nun auch verwendbar, wenn es keinen "admin" Benutzer gibt.
Wireguard:
Der Wireguard Wizard lässt nun das Ändern des Endpunkt Ports zu.
Mailconnector:
Bei Mailconnectorverbindungen lässt sich nun die TLS Version einstellen.
Alerting Center:
Für Alerting-Center-E-Mails kann nun DKIM aktiviert werden.
Administration-Webinterface:
In AD/LDAP Einstellungen kann nun das selbe LDAP-Attribut für mehrere Attribute verwendet werden.
Sonstiges:
Option zu SSLVPN Verbindungen hinzugefügt, die es ermöglicht sich von mehreren Quellen über die gleiche Verbindung einzuwählen.
Bugfixes:
Fehler behoben durch den sensible Daten im Audit-Log auftauchen konnten.
Es sind nun keine Hostnamen mehr als Fallback-Einstellung zulässig.
Gruppen ohne Berechtigungen konnten nicht mehr gespeichert werden.
Außnahme der Rekey und Lifetime Anpassungen für IKEv1 hinzugefügt.
Fehler behoben durch den nur noch ein DNS Server im DHCP Pool gespeichert wurde.
Abändern von Benachrichtigungsleveln im Alerting Center wurde unter Umständen nicht korrekt umgesetzt.
E-Mail Adressen von öffentlichen Ordnern auf einem Exchange wurden nicht mehr korrekt ausgelesen.
Router Advertisement wurde bei der Erstellung eines IPv6-DHCP-Pools nicht korrekt berücksichtigt.
Alerting Center Berichte wurden auch verschickt wenn keine Vorfälle aufgetreten sind.
Fehler behoben durch den IPv6 Adressen nur mit eckigen Klammern bei den AD/LDAP Einstellungen verwendet werden konnten.
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.5.0 Reseller Preview |
+========================================+
Maintenance / Security Bugfix:
Aktualisierung des Nameservers (CVE-2023-2911, CVE-2023-2828, CVE-2023-2829).
Konsolidierung auf eine Virusscan Engine.
Features:
Operating System:
Automatische Systemupdates können nun konfiguriert werden.
Azure kann nun zur Benutzerverwaltung angebunden werden.
Known Issue: Das Mailrelay funktioniert noch nicht mit Azure Benutzer Konten.
Known Issue: Azure Benutzer mit MFA Login können nicht verwendet werden.
Eine Begrenzung für fehlgeschlagene Login-Versuche wurde eingebaut.
USC / USR:
Die Websession lässt sich zusätzlich durch einen PIN absichern.
Known Issue: Websession Login per Benutzermaske funktioniert noch nicht und wird ab Version 12.5.2 implementiert.
IPSec:
Rekeying und Lifetime werden nach dem Update auf 12.5.0 für eine verbesserte Kompatibilität angepasst.
Wireguard:
Widget für WireGuard-Verbindungen zeigt nun auch Benutzern zugeteilte Verbindungen mit Status an.
Cluster:
Cluster Wartungsmodus lässt sich nun im neuen Reiter Management einstellen.
HTTP-Proxy:
Option um Verbindungsorientierte Microsoft-Authentifizierung weiterzuleiten lässt sich konfigurieren.
DHCP:
Ein next-server lässt sich nun bei DHCP Verbindungen einstellen.
Mailconnector:
Prüfung von Zertifikaten ist nun konfigurierbar.
Mailfilter:
Eine neue Kategorie "Unknown/Unbekannt" ist nun im Web- und Mailfilter verfügbar
Alerting Center:
Neue Alert Meldungen für Fehlgeschlagene Websession-PIN-Verifikationen.
Administration-Webinterface:
Einrichtung von Netzwerkobjekten PPPoE und VDSL wurde zusammengefasst.
Ablaufdatum von importierten CRLs wird nun angezeigt.
Passwörter lassen sich nun ein- und ausblenden.
Das Export-Ziel von Schlüsseln wurde überarbeitet.
Sonstiges:
Für Neuinstallationen ist die implizite Regel "Kein NAT für IPSec-Verbindungen" für IPSecTraffic standardmäßig aktiviert.
Der Validator von extc wurde erweitert um ungültige Einträge anzuzeigen.
Bugfixes:
Visuelle Fehler und Hinweise der Benutzeroberfläche in einigen Dialogen ausgebessert: Erstinstallation, Netzwerkobjekte, Wireguard, Paketfilter.
Sonstiges:
Fehler behoben, durch welchen eine falsche Absender Adresse für Alerting-Center E-Mails gesetzt wurde.
DHCP Pools mit einem "global" Namen wurden nicht in der Benutzeroberfläche dargestellt.
Eine gleichzeitige Konfiguration eines DHCP Servers und einer DHCP Schnittstelle wird nun für IPSec unterbunden.
Fehler im Mailarchiv behoben bei welchem eine Message-ID als Absender angezeigt wurde.
Eine gesetzte Mailfilter-Regel wurde unter Umständen nicht richtig umgesetzt.
Eingeloggte Administratoren konnten ihren eigenen Benutzer löschen oder umbenennen.
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.4.4.1 |
+========================================+
Maintenance / Security Bugfix:
ClamAV wurde aktualisiert (CVE-2023-40477).
IPSec strongswan wurde aktualisiert.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.4.4 |
+========================================+
Features:
Wurde bisher keine globale E-Mail Adresse in der UTM festgelegt, wird diese nun abgefragt.
Bugfixes:
Fehler behoben, der bei UTMs mit konfiguriertem Full Cone NAT unter Umständen zu unkontrollierten Neustarts führte.
Fehler behoben, durch den der letzte Benutzer mit Administrator-Rechten nicht bearbeitet werden konnte.
Im Regel hinzufügen Dialog wird QoS nun korrekt deaktiviert.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.4.2.1 |
+========================================+
Bugfixes:
Fehler behoben, durch den bei einer automatischen Aktualisierung über die Unified Security Console unter Umständen das Update nicht automatisch finalisiert wurde.
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.4.2 |
+========================================+
Diese Version wurde für Endkunden freigegeben und ist zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.4.1 Reseller Preview |
+========================================+
Features:
SSL-VPN:
Renegotiation Optionen bei SSL-VPN Roadwarrior-Verbindungen wurden um die Option "12 Stunden" erweitert.
Option zu SSL-VPN Server Site to Site Konfigurationen hinzugefügt, bei der nur explizit zugewiesenen Zertifikaten eine Verbindung erlaubt wird.
WireGuard:
Der WireGuard Wizard wurde um die Option ergänzt, per AD konfigurierte Peers zu berücksichtigen.
Mailfilter:
Neue Kategorie "Untersuchung" wurde zum Mailfilter hinzugefügt, basierend auf dem neuen Spamfilter.
Threat Intelligence Filter wurde nun auch für UTM VPN Edition aktiviert.
Alerting Center:
Im Alerting Center Report werden nun in Kürze ablaufende Zertifikate vermerkt.
Im Alerting Center lässt sich nun ein alternativer Empfänger für Berichte konfigurieren.
OTP:
Für OTP lassen sich nun SHA1, SHA256 oder SHA512 einstellen.
Cluster:
Für Cluster gibt es nun die Option, dass neu heruntergeladene Firmwareupdates automatisch, oder bereits aktivierte Firmwareupdates per Knopfdruck, auf der jeweils anderen UTM bereitgestellt werden.
Bugfixes:
Fehler behoben durch den leere E-Mailgruppen auf einem AD nicht mehr korrekt erkannt wurden.
The option "allow dns requests only for routed or vpn networks" was only active after restarting the service manually.
Beim Umbenennen von Benutzern konnte es zu Fehlern kommen.
Fehler behoben durch den einige Namen für ACME Zertifikate fälschlicherweise als ungültig erkannt wurden.
Eine PPP-Verbindung wurde immer mit IPv6 gestartet.
Bei Clientless VPN Verbindungen wurde bei Textübertragungen das letzte Zeichen entfernt.
Netzwerkobjekte mit IPv6 Adressen konnten nicht für Captive Portal verwendet werden.
Achtung: Durch Aktualisierung einer Mail-Security-Komponente, ist es unter Umständen nötig sicherzustellen, dass die Securepoint UTM mit dem TCP Port 55555 in das Internet kommunizieren kann.
Diese Version ist ausschließlich zum Testen für Reseller vorgesehen.
Diese Version ist nicht zum Einsatz in Produktivumgebungen vorgesehen.
+========================================+
| Version: 12.4.0 Reseller Preview |
+========================================+
Maintenance / Security Bugfix:
Operating System:
Aktualisierung des Betriebssystems und aller Komponenten.
Neue Virusscan Engine wurde hinzugefügt.
Features:
Operating System:
Kernel wurde auf Version 5.15.x aktualisiert.
In der Benutzeroberfläche lassen sich neue Firmware Updates nun manuell herunterladen.
WireGuard:
Anpassungen und Verbesserungen der Benutzeroberfläche.
Neues Widget für WireGuard-Verbindungen verfügbar.
Unterstützung für WireGuard-Roadwarriorverbindungen mithilfe von Benutzer-/ Gruppenkonfiguration.
Download für WireGuard Client-Konfigurationen als QR-Code sind nun für Benutzer verfügbar.
WireGuard-Verbindungen sind nun über Benutzer-Attribute eines angebundenen ADs konfigurierbar.
Kompatibilität für Cluster Konfigurationen wurde verbessert.
Operating System:
Kernel wurde auf Version 5.15.x aktualisiert.
In der Benutzeroberfläche lassen sich neue Firmware Updates nun manuell herunterladen.
GeoIP:
Implizite GeoIP Regeln lassen sich nun auch via GeoIP-Gruppen anlegen.
ACME:
Auswahl zwischen systemweiten oder manuell konfigurierten Nameservern für die ACME-Challenges lassen sich nun einstellen.
SNMP:
SNMP Abfragen zu eingestellten nf_conntrack Werten als auch vorliegenden Updates sind nun möglich.
Aktualisierte MIBs stehen zum Download als V3 im RSP bereit.
Alerting Center:
Neue Alert Meldungen für GeoIP und nf_conntrack.
Ein vordefinierter HTTP Request lässt sich beim Alerting Center einstellen.
Ein alternativer Empfänger kann den Berichten hinterlegt werden.
Initiale Installation:
Im Installationsassistenten Schritt 3 lässt sich eine WLAN Bridge und STP aktivieren.<