JobsPresseNutzungsbedingungenDatenschutzImpressum

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Mit speziellen TCP-Paketen konnte ein Angreifer einen Systemabsturz verursachen oder hohe Systemlast erzeugen.

Abruf von E-Mails aus der Quarantäne

Im Quarantäne-Modus "E-Mails zurückhalten" mit aktiviertem Benutzerzugriff wurde den Empfängern fälschlicherweise auch für E-Mails mit gefährlichem Inhalt ein Link für das Zustellen der E-Mail gesendet.
Die Quarantäne-Modi "Anhang entfernen" und "E-Mail abweisen" sind nicht betroffen. Systeme mit deaktiviertem Benutzerzugriff sind ebenfalls nicht betroffen.

Keine Verbindung zu Mail-Servern möglich, die bei der Verschlüssung ausschließlich ECDSA unterstützen

Virenscanner-Engines von Avira, F-Secure und Kaspersky

Zahlreiche Software-Pakete

IDS/IPS-Signaturen für Systeme ohne Pflegevertrag

URL-Filter Datenbank

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels und der CPU-Microcodes

Das Update enthält Gegenmaßnahmen für die unter dem Sammelbegriff "Microarchitectural Data Sampling" (MDS) zusammengefassten Sicherheitslücken in Intel-CPUs. Um die Sicherheitslücke ausnutzen zu können, muss ein Angreifer eigenen Code auf dem System zur Ausführung bringen.
Bei virtuellen Systemen besteht die Gefahr, dass Gast-Systeme auf Daten des Hosts oder anderer Gäste zugreifen können. Stellen Sie daher sicher, dass auf dem Host geeignete Maßnahmen gegen MDS ergriffen wurden.
Vollständig geschützt ist das System nur, wenn Hyperthreading deaktiviert wird, was sich jedoch stark auf die Leistungsfähigkeit auswirkt. Wir halten diese Maßnahme nicht für notwendig, da normalerweise nur Code aus vertrauenswürdigen Quellen auf dem System ausgeführt wird. Es steht Ihnen jedoch frei, Hyperthreading selbständig im BIOS zu deaktivieren.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Der neue Kernel enthält einige weniger kritische sicherheitsrelevante Bugfixes.

Fehlfunktion des F-Secure Antivirus

Am Nachmittag des 10.04.2019 kam es aufgrund fehlender Zugriffsrechte auf eine neue Bibliotheksdatei zu einer Fehlfunktion des F-Secure Antivirus-Scanners. Die Datei wurde im Zuge der Signatur-Updates installiert.

Benutzersynchronisation aus dem ActiveDirectory

In Version 7.0-4.7 schlägt die Benutzersynchronisation in den meisten Installationen fehl.

Aktualisierung des IPsec-Servers

Die neue Version behebt Probleme beim IKEv2 Re-keying.

IP-Isolation im WLAN deaktivierbar

Kleinere Bugfixes und Verbesserungen

F-Secure Antivirus

Seit 05.02.2019 meldet der Scanner fälschlicherweise "Scanner-Test fehlgeschlagen" bzw. "F-Secure Linux Security funktioniert nicht". Der Scanner wird mittels EICAR-Testfile auf Funktion geprüft. Diese schlägt fehl, da sich das Format der Ausgabe geändert hat.
Die Funktion des Scanners war zu keiner Zeit beeinträchtigt.

Kleinere Bugfixes und Verbesserungen

E-Mail Dateianhangs-Filter und kennwortgeschützte RAR-Archive

Der Dateianhangs-Filter bleibt bei der Verarbeitung von E-Mails mit kennwortgeschützten RAR-Archiven hängen, wenn die Option zum prüfen von ZIP- und RAR-Archiven aktiviert ist. Nach Ablauf eines Timeouts wird die Mail mit einem temporären Fehler abgewiesen.
Betroffen von dem Problem ist die seit Anfang November aktive Welle von Verschlüsselungstrojanern mit Bewerbungs-Emails. Werden Mails per SMTP empfangen, hat der Fehler den Empfang der Viren verhindert. Werden Mails jedoch von einem POP-Server abgerufen, liegen die Viren noch im Postfach und werden nach der Installation des Updates abgerufen. Wir empfehlen vor dem Update die Mitarbeiter über diese Gefahr zu informieren oder, soweit noch nicht geschehen, RAR-Dateien zumindest vorübergehend im MIME-Filter zu sperren.

SSH-Server

Das Update beseitigt zwei weniger kritische Sicherheitsproblem im SSH-Server. Ab sofort werden keine Algorithmen mit CBC Blockverschlüsselung mehr akzeptiert. Ferner war es in älteren Versionen möglich, anhand des Timing-Verhaltens zu ermitteln, ob es ein bestimmtes Benutzerkonto im System gibt.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Dieser Kernel enthält kleinere Verbesserungen und Fehlerbehebungen, bezüglich des kürzlich eingeführten Schutzes für die Intel-CPU Sicherheitslücke "L1 Terminal Fault" (L1TF).
Bei virtuellen Systemen besteht die Gefahr, dass Gast-Systeme auf Daten des Hosts oder anderer Gäste zugreifen können. Stellen Sie daher sicher, dass auf dem Host geeignete Maßnahmen gegen L1TF ergriffen wurden.

Reverse-Proxy

Seit der Aktualisierung des Reverse Proxy in 7.0-4.3 ist es möglich, dass Teile des Prozesses in einer Endlosschleife weiterlaufen können, wenn Clients unerwartet die Verbindung abbrechen. Dies kann zu einer außergewöhnlich hohen Belastung führen und das gesamte System beeinflussen.
Sollte das System schon unter einer erhöhten Last stehen, ist es sinnvoll den Reverse Proxy Dienst oder eventuell das gesamte System vor dem Update neu zu starten, da der Updatevorgang sonst unnötig ausgebremst wird.

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Der Kernel schützt gegen die neuerliche Intel-CPU Sicherheitslücke "L1 Terminal Fault" (L1TF).
Bei virtuellen Systemen besteht die Gefahr, dass Gast-Systeme auf Daten des Hosts oder anderer Gäste zugreifen können. Stellen Sie daher sicher, dass auf dem Host geeignete Maßnahmen gegen L1TF ergriffen wurden.

Samba Windows-Client Bibliothek

Mit überlangen Dateinamen in Verzeichnis-Listings konnte ein Puffer-Überlauf in der Windows-Client Bibliothek ausgelöst werden.

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Das Update enthält Microcode Updates für die Intel-CPUs von Geräten, die ab Januar 2010 (19"-Geräte) bzw. Januar 2012 (Standgeräte) ausgeliefert wurden. Die Microcodes schützen vor den unter dem Sammelbegriff "Spectre-NG" bekanntgewordenen "neuen" Prozessorfehlern "Spectre V3a" und "Spectre V4". Verbessert wird zudem der Schutz gegen den "alten" Fehler "Spectre V2".
Schutzmaßnahmen gegen "Spectre V1", "Spectre V2" und "Meltdown" (V3) sind bereits seit Version 7.0-3.3 bzw. 7.0-3.4 enthalten.

Intrusion Prevention und Firewall

Durch die Intrusion Prevention wurden sporadisch TCP-Reset-Pakete verworfen. Dies zog ein erhöhtes Aufkommen von ungültigen Paketen nach sich. Zusammen mit einer in Version 7.0-4.0 erfolgten Änderung im Bewertungssystem der dynamischen Firewall konnte dies dazu führen, dass IP-Adressen fälschlicherweise gesperrt wurden.
Im Rahmen des Bugfixes wurde die Protokollierung ungültiger Pakete überarbeitet. In unkritischen Fällen findet eine Protokollierung nun erst bei starker Häufung statt.

Reverse-Proxy

Neben verbesserten Schutzfunktionen unterstützt die neue Version WebSocket-Verbindungen.

Web-Proxy Content-Filter

Mit bestimmten Clients konnte es insbesondere bei sehr großen Downloads vorkommen, dass die Verbindung vom Proxy getrennt wurde, noch bevor die letzten Daten an den Client übermittelt wurden.

Bridging der Schnittstelle "wlan0"

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

In Intel Prozessoren wurde eine Sicherheitslücke bekannt, über die ein Angreifer, der eigenen Code zur Ausführung bringen kann, Zugriff auf vertrauliche Daten innerhalb der Floating-Point-Unit (FPU) erhalten kann. Die FPU wird unter anderem für hardwarebeschleunigte Crypto-Operationen genutzt. Mit dem Update wird vom dafür anfälligen Lazy-FPU-Modus auf den Eager-FPU-Modus umgestellt.

Empfehlung zur Sperrung zusätzlicher Dateinamenserweiterungen

Im "MIME-Filter" des Mail-Servers und in der URL-Filter Liste "standard" des Web-Proxies empfehlen wir zusätzlich "iqy" und "slk" zu sperren. Beide Endungen werden aktuell von Schädlingen genutzt. Sie finden die komplette Liste der von uns zur Sperrung empfohlenen Dateiendungen in der Online-Hilfe zu den jeweiligen Konfigurationstabellen.

Nach einem Wechsel der Zeitzone wurde stets die alte Zeitzone angezeigt

Neue Version des Greylist-Filters mit datenschutzkonformer Datenbank

Kleinere Bugfixes und Verbesserungen

Interaktives Update

Auf Systemen, die vor dem 15. Juni 2018, 10:00 Uhr auf Version 7.0-4.0 aktualisiert wurden, wird während des nächsten Update-Vorgangs kein Protokoll angezeigt, sofern der "interaktive" Update-Modus gewählt wurde. Es wird lediglich "Der Updatevorgang läuft" angezeigt. Mit der Meldung "Es wurde ein Update geplant für: Kein wartender Auto-Update-Job!" ist das Update des Systems abgeschlossen. Im Hintergrund wird dann die Administrationsoberfläche aktualisiert. In dieser Zeit kann es zu Problemen beim Zugriff auf die Oberfläche kommen.
Um den Fortschritt des Updates dennoch verfolgen zu können, klicken Sie bitte gleich nach dem Start des Updates erneut auf den Menüpunkt "System > Update". Über "Letztes Update-Log anzeigen" öffnet sich ein neues Fenster mit dem Protokoll. Nutzen Sie die "Aktualisieren"-Funktion des Browsers, um die Anzeige aufzufrischen.

IPsec Server-Verbindungen mit Preshared-Key

In Version 7.0-4.0 wurden eingehende IPsec-Verbindungen von Dritthersteller-Routern wie insbesondere der FritzBox fälschlicherweise abgewiesen, wenn zur Authentifizierung ein Preshared-Key verwendet wird, für die Gegenstelle eine feste IP konfiguriert ist und die Gegenstelle XAuth-Unterstützung signalisiert aber nicht verwendet.

URL-Filter Datenbank

Seit der Aktualisierung der kostenfreien URL-Filter Datenbank in 7.0-4.0 wurden einzelne Google URLs fälschlicherweise in der Kategorie "Pornographie" geführt.

Firewall-Konfiguration in Administrations-Oberfläche

Der Reiter "Transp. Proxy", der in der Firewall-Konfiguration von LAN- und RAS-Schnittstellen angezeigt werden sollte, war in Version 7.0-4.0 ausgeblendet. Die Funktion der Firewall wurde dadurch nicht beeinträchtigt.

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany