Keine Änderungen zu Version 7.1-4.9

Bei der angekündigten Sicherheitslücke hat sich herausgestellt, dass unsere Systeme nicht betroffen sind.

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Glibc-Bibliothek

In der zentralen Systembibliothek glibc ist eine Sicherheitslücke bekannt geworden, über die sich ein lokaler Benutzer Vollzugriff auf das System verschaffen kann.

Aktualisierung diverser Systemkomponenten

Aktualisiert werden der Linux-Kernel und Avira Antivirus. Auch die vordefinierten Listen der vertrauenswürdigen CAs, die kostenlose URL-Filter-Datenbank und das Regelwerk des SPAM-Filters werden aktualisiert. Systeme ohne tägliche Aktualisierung der IDS-Regeln (Systeme ohne Pflegevertrag) erhalten mit diesem Update neue IDS-Regeln.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels mit Intel-CPU Microcodes

Die Sicherheitslücke "Downfall" erlaubt es einem bösartigen Programm Daten anderer Prozesse oder des Betriebssystems auszulesen. Das Update installiert einen neuen Linux-Kernel mit einem aktualisierten Intel-CPU-Befehlssatz.
Betroffen sind 19"-Geräte (Rack-Server) die wir ab Oktober 2020 ausgeliefert haben. Standgeräte (Thin-Server) und die kleinen Eco-Server sind nicht betroffen.
Auf virtuellen Systemen prüfen Sie bitte ob es für den Host ein entsprechendes Sicherheitsupdate gibt.

Verschlüsselung von PKCS#12-Dateien

Der private Schlüssel in PKCS#12-Dateien wurde bislang mit dem veralteten TripleDES-Verfahren verschlüsselt, da die Bordwerkzeuge anderer Betriebssysteme ausschließlich dieses Format lesen können. Ab sofort bieten wir alternativ auch die Verschlüsselung mit AES-256 an.
IPsec-Installationspakete für Windows nutzen weiterhin TripleDES, da diese von Windows ausgelesen werden müssen. OpenVPN-Installationspakete für Windows (*.exe) hingegen werden zukünftig ausschließlich mit AES-256 verschlüsselt, da OpenVPN für Windows eine eigene Kryptographiebibliothek enthält, die dieses Format unterstützt.
Wir empfehlen, vom CA-Zertifikat ein AES-verschlüsseltes Backup zu erstellen und das alte Backup zu vernichten. OpenVPN-Konfigurationen auf Windows-Clients, bei denen es neben der *.ovpn-Datei auch eine *.p12-Datei gibt, sollten ebenfalls aktualisiert werden. Vernichten Sie in diesem Fall die alte *.p12-Datei.

OpenVPN-Installationspakete für Windows (*.exe)

OpenVPN 2.6 unter Windows konnte die PKCS#12-Dateien der OpenVPN-Installationspakete nicht mehr öffnen, da die darin enthaltenen öffentlichen Zertifikate mit einem nicht mehr unterstützen Algorithmus verschlüsselt waren.

Let's Encrypt Staging-Server

Der Download von Let's Encrypt Test-Zertifikaten schlug fehl.

Reverse-Proxy Autodiscover

Der Reverse-Proxy unterstützt jetzt auch Autodiscover V2

Aktualisierung diverser Systemkomponenten

Aktualisiert werden u.a. Avira-Antivirus, die Laufzeitumgebung für Apps sowie IPsec-, Web-, DNS-, SNMP- und SSH-Server.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Aktualisierung des Linux-Kernels

Im Linux-Kernel ist eine Sicherheitslücke bekannt geworden, die es einem auf Systemebene angemeldeten Benutzer ermöglicht, volle Zugriffsrechte zu erlangen. Über das Netzwerk ist eine Anmeldung auf Systemebene in der Regel nur dann möglich, wenn der SSH-Dienst aktiviert wurde. Wurde dieser zudem aus dem Internet erreichbar gemacht, sollte das Update umgehend installiert werden.

IP-Listen für Instagram und Soundcloud

Beide IP-Listen werden nicht mehr gepflegt. Falls sie in Verwendung sind, werden sie durch das Update geleert, ansonsten gelöscht. Die Adressen aus Instagram sind mittlerweile Bestandteil der IP-Liste Facebook, die Adressen zu Soundcloud sind Bestandteil der IP-Liste Amazon-AWS.

Störungen bei transparentem Proxying zu Diensten mit häufig wechselnden IPs

Kleinere Bugfixes und Verbesserungen

Aktualisierung diverser Software-Komponenten

Aktualisiert wurden Web-Proxy, Intrusion-Prevention, Avira Virenscanner, WLAN-Dienst sowie einzelne systemnahe Werkzeuge.

Kaspersky Produktschlüssel

Systeme mit Kaspersky Virenscanner müssen das Update bis zum 12.06.2023 installieren, da an diesem Tag der alte Produktschlüssel abläuft.

Dienst zum zeitversetzten Ausführen von Befehlen

Der Dienst wird genutzt, um Updates zu einer bestimmten Uhrzeit einzuspielen, Updates über Verwaltungsserver durchzuführen und fehlgeschlagene Transfers von Backups und Logdateien zu wiederholen. Der Dienst wurde in Version 7.1-4.4 aktualisiert und führte Aufgaben nur noch beim Hinzufügen oder Löschen weiterer Aufgaben durch. Systeme, die nach dem 10.02.2023 auf Version 7.1-4.5 aktualisiert wurden, haben bereits eine fehlerbereinigte Version erhalten. Alle anderen Systeme erhalten den Bugfix mit diesem Update.

Timeouts in der Administrations-Oberfläche bei extensiver Nutzung umfangreicher IP-Objekte

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Sicherheitslücken in diversen Komponenten

Das Update behebt weniger kritische Sicherheitslücken im Linux-Kernel, dem Avira Virenscanner und in System-Bibliothek.

Client-Zertifikat für Mailversand

Für den Versand von E-Mails über einen Relay-Server des Providers lässt sich zur Authentifzierung jetzt auch ein Client-Zertifikat nutzen.

DNSSEC-Validierung schlägt fehl

Wurde in Version 7.1-4.4 der DNS-Server mit aktivierter DNSSEC-Validierung gestartet ohne Zugriff auf das Internet zu haben, wurde eine unvollständige Cache-Datei angelegt. Der Abruf von mit DNSSEC gesicherten DNS-Informationen schlug ab diesem Zeitpunkt fehl.

Umstellung WithSecure (F-Secure) auf App

Auf Systemen mit mind. Version 7.1-4.4, auf denen noch die alte Version des F-Secure Virenscanners installiert ist, wird zu Beginn des Updates die App-Version des WithSecure Virenscanners installiert.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Sicherheitslücken in diversen Komponenten

Das Update behebt weniger kritische Sicherheitslücken im Linux-Kernel, dem Avira Virenscanner, diversen System-Bibliothek und Werkzeugen.

Markierung aller von extern empfangenen Mails

Bei eingehenden Mails ließ sich bisher der Betreff nur dann markieren, wenn eine lokale Absenderadresse verwendet bzw. vorgetäuscht wurde. Alternativ lässt sich nun der Betreff jeder eingehenden Mail mit einem benutzerdefinierten Vorsatz markieren.

Reset des Netzwerkkarten-Treibers auf neuen Standgeräten

Bei hohem Netzwerkdurchsatz kam es auf aktuellen Standgeräten (Thin-Server) zu Resets des Netzwerkkarten-Treibers, was zu kurzzeitigen Unterbrechungen der Netzwerkkommunikation führte. Das Problem wurde im vorherigen Update für die neuste Gerätegeneration behoben. Mit diesem Update wird der Bugfix auch auf Geräten mit einer geringfügig älteren Revision des Mainboards aktiviert.

Kleinere Bugfixes und Verbesserungen

Sperrung von URLs und Headern im Reverse-Proxy

Im Reverse-Proxy wurde die Möglichkeit geschaffen, Anfragen mit bestimmten URLs oder Headern port-übergreifend zu sperren. So lässt sich ggf. verhindern, dass akute Sicherheitslücken in Webanwendungen der Hintergrundserver ausgenutzt werden können, solange noch kein Bugfix verfügbar oder installiert ist.

Hyper-V: Reihenfolge der Netzwerkkarten durcheinander

Seit dem Update auf Version 7.1-4.0 konnte es in virtualisierten Installationen unter Hyper-V passieren, dass nach einem Reboot die Reihenfolge der Netzwerkkarten geändert war.

Reset des Netzwerkkarten-Treibers auf neuen Standgeräten

Bei hohem Netzwerkdurchsatz kam es auf aktuellen Standgeräten (Thin-Server) zu Resets des Netzwerkkarten-Treibers, was zu kurzzeitigen Unterbrechungen der Netzwerkkommunikation führte.

Avira Antivirus

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Sperrung von IPs nach fehlgeschlagener Authentifzierung

Nach wiederholt fehlgeschlagener Authentifzierung über SMTP und am SSH-Server wurde seit Version 7.1-4.0 die Quell-IP nicht mehr vorübergehend gesperrt.

Sicherheitslücken in diversen Komponenten

Das Update behebt weniger kritische Sicherheitslücken im Linux-Kernel, diversen System-Bibliothek und Werkzeugen.

OAuth2-Authentifizierung für Mail-Client zur Anmeldung an Microsoft 365

Ab 1. Oktober 2022 ist für den Abruf von E-Mails aus Microsoft 365-Konten mit POP3 oder IMAP4 die Authentifzierung mit OAuth2 erforderlich. Die notwendigen Schritte zur Konfiguration von Azure AD und Exchange-Online finden Sie in der Online-Hilfe zu den OAuth2-Parametern.

Erforderlicher Header für Mail-Archivierung

In den Einstellungen zur Mail-Archivierung lässt sich jetzt ein Header festlegen, den jede zu archivierende Mail enthalten muss. Auf diese Weise lässt sich z.B. sicherstellen, dass nur Mails archiviert werden, die von der Journal-Funktion Ihres Exchange-Online-Mandanten versendet wurden.

IPsec-Schnittstelle auf Bridge

Seit Version 7.1-4.0 wurden über IPsec empfangene Nutzdaten verworfen, wenn die IPsec-Schnittstelle auf einer Bridge aufsetzt.

Kleinere Bugfixes und Verbesserungen

F-Secure Virenscanner-App

Auf einzelnen Geräten kam es nach einem Neustart zu Problemen mit dem Mail-Virenscan.
Der Web-Proxy Content-Filter zeigte bei passwortgeschützten oder verschlüsselten Dateien die falsche Meldung an (Virenscanner nicht installiert).

URL-Filter Datenbank-Kategorie "Spyware"

In der kostenfreien URL-Filter-Datenbank wurde in Version 7.1-4.0 eine neue Datenquelle für die Kategorie "Spyware" integriert. Diese fasst den Begriff Spyware jedoch sehr weit, was zu Problemen bei einzelnen Webseiten führte. Wir haben die aus dieser Datenquelle übernommenen Einträge nun deutlich reduziert.

Domainlisten und IP-Listen

Folgende Ergänzungen wurden in den Domainlisten vorgenommen:
  • OFFICE: cdn.office.net
  • WINDOWS: Update-Server für Exchange Antimalware
  • ANTIVIRUS: Update-Server für Sophos-Virenscanner
In den IP-Objekten wurden die neuen IP-Listen GOOGLE_CLOUD und MICROSOFT_AZURE eingeführt. Die IP-Liste AMAZON wurde zu AMAZON_AWS umbenannt.

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany