Aller au contenu
Avanet
Sophos UTM Update v9.6 publié

Sophos UTM Update v9.6 publié

23. NOVEMBRE 2018

Sophos a publié la version 9.600 du firmware UTM. Voici un récapitulatif des nouveautés de cette version 9.6 :

Intégration de Let’s Encrypt

L’intégration de Let’s Encrypt dans UTM figurait depuis longtemps en tête de la liste de souhaits de nombreux clients. Avec la version 9.6, l’attente touche enfin à sa fin. Les certificats peuvent être créés via la WAF et sont renouvelés automatiquement.

Astuce : si vous avez configuré une règle DNAT pour HTTP, il faudra la désactiver sur l’interface sur laquelle Let’s Encrypt est utilisé. Le Country Blocking peut également poser problème ; prévoyez dans ce cas une exception.

ATP : nouvelle bibliothèque Advanced Threat Protection

La fonction Advanced Threat Protection bénéficie d’une nouvelle bibliothèque qui améliore encore la protection et les performances.

RED : nouveau firmware

Les modèles RED 15 et RED 50 reçoivent un nouveau firmware intégrant des pilotes actualisés pour les clés USB 3G/4G, afin de mieux prendre en charge ces modems.

Sandstorm : envoi manuel de fichiers et rapports

Les administrateurs peuvent désormais charger manuellement un fichier dans Sophos Sandstorm pour l’exécuter et l’analyser. Il devient ainsi possible d’examiner également des fichiers qui n’ont pas été reçus par email ou téléchargés via le Web. Le reporting Sandstorm a lui aussi été amélioré et fournit des données plus détaillées sur une période donnée.

SMTP Proxy : améliorations

Le proxy SMTP prend désormais en charge le « Submission Port » et propose une adresse d’écoute configurable.

WAF : pages d’erreur personnalisées

Toutes les pages d’erreur générées par la WAF peuvent maintenant être adaptées à votre charte graphique. Il est notamment possible d’intégrer votre identité visuelle sur l’ensemble des pages.

Déception autour d’IKEv2

La prise en charge d’IKEv2 est une demande récurrente de la communauté. D’après Sophos, il n’a pas été possible d’intégrer IKEv2 dans UTM 9.6. Pour être honnête : il ne faut plus vraiment compter sur l’arrivée d’IKEv2 sur UTM. Si l’on regarde la roadmap de XG, elle est extrêmement chargée et c’est clairement là que se concentre l’effort de développement. À l’inverse, la roadmap UTM est relativement vide.

Si vous avez impérativement besoin d’IKEv2, nous vous recommandons d’envisager rapidement une migration vers le nouvel OS SFOS. Si vous disposez d’un appliance SG, la migration ne génère aucun coût supplémentaire et la durée de votre licence est reprise telle quelle. Si vous avez besoin d’assistance pour la migration, nous serons ravis de vous aider. À la date de rédaction de cet article (23.11.2018), nous n’installons plus de nouvelles UTM depuis un an et demi – uniquement des XG – et notre expertise UTM est principalement sollicitée pour les migrations vers SFOS.

Remarque : lors de la mise à jour, l’UTM redémarre et applique la nouvelle configuration. Gardez à l’esprit que les RED et points d’accès connectés recevront également un firmware à jour.

Important : après la mise à jour vers UTM 9.6, l’ancien template HTML de page d’avertissement du proxy HTTP ne fonctionne plus correctement. Téléchargez les nouveaux modèles, adaptez‑les à vos besoins, puis chargez‑les à nouveau sur l’UTM. Pour plus de détails, consultez : KBA133167 - Sophos UTM: Changes to customized web templates in 9.6.

Corrections de bugs

  • NUTM-10128 [Access & Identity] MDW waits hours for lock on shared cache with AUA
  • NUTM-10130 [Access & Identity] Unable to connect RDP type bookmark with NLA
  • NUTM-7418 [Access & Identity] SAA - Rename Client Auth CA
  • NUTM-9368 [Access & Identity] SSL VPN: optional user auth not working
  • NUTM-9525 [Access & Identity] Disk filling up with argos error messages in endpoint.log
  • NUTM-9843 [Access & Identity] HTML5 VPN portal connections periodically stop working until service is restarted
  • NUTM-10080 [Basesystem] Update to latest Avira SAVAPI version
  • NUTM-10366 [Basesystem] Missing IP address in IPset of user network for STAS
  • NUTM-9783 [Basesystem] IPsec routing issue if gateway interface has additional addresses
  • NUTM-9810 [Basesystem] IPset Object takes 30 seconds to update after SSL VPN connection was established
  • NUTM-9860 [Basesystem] Selfmon trying to start DHCP even when not in use
  • NUTM-10226 [Email] Can’t release POP3 messages due to URL in User Portal
  • NUTM-9681 [Email] cssd coredumps and root partition is filling up
  • NUTM-9716 [Email] S/MIME encryption - automatic certificate extraction causing high load / no webadmin access
  • NUTM-9733 [Email] Change default encryption algorithm to ‘smime’
  • NUTM-9853 [Email] Fix policy traversal (for gpg, smime, unscanable)
  • NUTM-9882 [Email] Umlauts in mail addresses get corrupted if SPX encryption is used
  • NUTM-10181 [Network] Remove DNSdynamic from available dynamic DNS providers
  • NUTM-10307 [Network] ATP exception still working after deletion
  • NUTM-10337 [Network] High CPU load by AFCd when hotspot is enabled
  • NUTM-10414 [Network] Segfault in oculusd
  • NUTM-2791 [Network] Fix detection of sub applications in Application Control
  • NUTM-4767 [Network] SSH for single host skipping AFC check
  • NUTM-9462 [Network] Update to BIND 9.11 ESV
  • NUTM-10197 [RED] All REDs disconnect intermittently
  • NUTM-10227 [RED] Offline provisioning does not work
  • NUTM-10303 [RED] Unified FW: split networks does not work
  • NUTM-10384 [RED] Update hostapd for Unified-FW
  • NUTM-9026 [RED] TP-LINK MA260 dongle on RED doesn’t work anymore after update to v9.5
  • NUTM-9795 [RED] RED50 issue with large packets in Transparent/Split mode
  • NUTM-10060 [Reporting] ATP alerts / events not deleted after three days
  • NUTM-10201 [Reporting] Unable to download S/MIME internal user certificate
  • NUTM-10352 [Sandstorm] Sandstorm Activity Report table and graph do not show same data
  • NUTM-10367 [Sandstorm] Sandstorm Activity Graph does not include email cached results
  • NUTM-2644 [UI Framework] Webadmin prefetching list box not displaying any users, if one user contains a single tick
  • NUTM-10066 [WAF] Existing certificate chain overrides after new certificate chain has been added
  • NUTM-10185 [WAF] Using printenv SSI directive in custom theme causes segfault
  • NUTM-10315 [WAF] Let’s Encrypt can’t be enabled after upgrade from 9.5 (/etc/ssl/certs not accessible)
  • NUTM-10316 [WAF] Let’s Encrypt certificates allow wildcards in domain name list
  • NUTM-10332 [WAF] Let’s Encrypt not working over IPv6
  • NUTM-9809 [WAF] Potential memory allocation failure for “Rewrite HTML” + location with special characters
  • NUTM-10188 [WebAdmin] [OTP] QR code not visible for the first user login
  • NUTM-10214 [WebAdmin] Breach Vulnerability in WebAdmin (CVE-2013-3587)
  • NUTM-6945 [WebAdmin] Popup too small for secret when deleting SHA512 OTP token
  • NUTM-7381 [WebAdmin] Login to UserPortal only works at second try when using RADIUS authentication
  • NUTM-9424 [WebAdmin] Webadmin session interrupted with pop-up “Backend connection failed”
  • NUTM-10200 [Web] Segfault in libc-2.11.3.so
  • NUTM-10284 [Web] HTTP Proxy crash with coredumps
  • NUTM-9676 [Web] HTTP Proxy out-of-memory segfault / HTTP Proxy stops working with “Avira engine not available”
  • NUTM-9854 [Web] Warning page bypass using crafted URLs
  • NUTM-9873 [Web] File blocked due to MIME type detection even if there is an exception
  • NUTM-9956 [Web] HTTP Proxy coredumps in geoip scanner
  • NUTM-10365 [Wireless] RED15w: SSID isn’t broadcasted when “Enterprise Authentication” is in use *** End of File
Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.