Hoppa till innehållet
Avanet
Sophos UTM‑uppdatering v9.6 släppt

Sophos UTM‑uppdatering v9.6 släppt

23. NOVEMBER 2018

Sophos har släppt version 9.600 av UTM‑firmwaren. Här är en översikt över vad som är nytt i version 9.6.

Let’s Encrypt‑integration

Stöd för Let’s Encrypt i UTM har länge stått högt på önskelistan hos många kunder. Med version 9.6 är det nu verklighet. Certifikat kan skapas via WAF och förnyas automatiskt.

Tips: om du har en DNAT‑regel för HTTP på det interface där Let’s Encrypt används måste den stängas av. Country Blocking kan också ställa till problem – skapa i så fall ett undantag.

ATP: ny Advanced Threat Protection‑modul

Advanced Threat Protection använder nu en ny biblioteksversion som ger både bättre skydd och högre prestanda.

RED: ny firmware

RED 15 och RED 50 får ny firmware som innehåller uppdaterade drivrutiner för 3G/4G‑USB‑modem, vilket förbättrar stödet för dessa enheter.

Sandstorm: manuell filöverföring och rapporter

Administratörer kan nu manuellt ladda upp filer till Sophos Sandstorm för att köra och analysera dem. På så sätt kan även filer som inte kommit in via e‑post eller webbdownload granskas. Rapporteringen i Sandstorm har också förbättrats och ger mer detaljerad statistik över valda tidsperioder.

SMTP‑proxy: förbättringar

SMTP‑proxyn stöder nu „Submission Port” och har ett konfigurerbart lyssningsadress‑fält.

WAF: anpassade felsidor

Alla felsidor som WAF levererar kan nu anpassas, så att du kan använda din egen grafiska profil och logotyp på samtliga sidor.

Besvikelse kring IKEv2

Stöd för IKEv2 är något som communityn har efterfrågat länge. Enligt Sophos fanns det dock inte längre utrymme att få in IKEv2 i UTM 9.6. För att vara realistisk: räkna inte med att IKEv2 dyker upp i UTM framöver. Ser man på XG‑roadmapen är den fullspäckad, och det är tydligt där utvecklingsfokus ligger. UTM‑roadmapen är i jämförelse betydligt tunnare.

Om du absolut behöver IKEv2 rekommenderar vi att du planerar en migrering till SFOS. Har du en SG‑appliance tillkommer inga extra hårdvarukostnader och kvarvarande licenstid följer med. Behöver du hjälp med migreringen bistår vi gärna. Vid tiden för denna artikel (23‑11‑2018) har vi i ungefär 1,5 år enbart satt upp nya XG‑installationer – UTM‑kunskapen använder vi nästan uteslutande vid migreringar till SFOS.

Observera: under uppdateringen startas UTM om och konfigurationen uppdateras. Tänk på att anslutna RED‑enheter och accesspunkter också får ny firmware.

Viktigt: efter uppdateringen till UTM 9.6 fungerar den gamla HTML‑mallen för innehållsvarningar i HTTP‑proxyn inte längre korrekt. Ladda ned de nya mallarna, anpassa dem och ladda sedan upp dem igen. Mer information finns här: KBA133167 - Sophos UTM: Changes to customized web templates in 9.6.

Buggfixar

  • NUTM-10128 [Access & Identity] MDW waits hours for lock on shared cache with AUA
  • NUTM-10130 [Access & Identity] Unable to connect RDP type bookmark with NLA
  • NUTM-7418 [Access & Identity] SAA - Rename Client Auth CA
  • NUTM-9368 [Access & Identity] SSL VPN: optional user auth not working
  • NUTM-9525 [Access & Identity] Disk filling up with argos error messages in endpoint.log
  • NUTM-9843 [Access & Identity] HTML5 VPN portal connections periodically stop working until service is restarted
  • NUTM-10080 [Basesystem] Update to latest Avira SAVAPI version
  • NUTM-10366 [Basesystem] Missing IP address in IPset of user network for STAS
  • NUTM-9783 [Basesystem] IPsec routing issue if gateway interface has additional addresses
  • NUTM-9810 [Basesystem] IPset Object takes 30 seconds to update after SSL VPN connection was established
  • NUTM-9860 [Basesystem] Selfmon trying to start DHCP even when not in use
  • NUTM-10226 [Email] Can’t release POP3 messages due to URL in User Portal
  • NUTM-9681 [Email] cssd coredumps and root partition is filling up
  • NUTM-9716 [Email] S/MIME encryption - automatic certificate extraction causing high load / no webadmin access
  • NUTM-9733 [Email] Change default encryption algorithm to ‘smime’
  • NUTM-9853 [Email] Fix policy traversal (for gpg, smime, unscanable)
  • NUTM-9882 [Email] Umlauts in mail addresses get corrupted if SPX encryption is used
  • NUTM-10181 [Network] Remove DNSdynamic from available dynamic DNS providers
  • NUTM-10307 [Network] ATP exception still working after deletion
  • NUTM-10337 [Network] High CPU load by AFCd when hotspot is enabled
  • NUTM-10414 [Network] Segfault in oculusd
  • NUTM-2791 [Network] Fix detection of sub applications in Application Control
  • NUTM-4767 [Network] SSH for single host skipping AFC check
  • NUTM-9462 [Network] Update to BIND 9.11 ESV
  • NUTM-10197 [RED] All REDs disconnect intermittently
  • NUTM-10227 [RED] Offline provisioning does not work
  • NUTM-10303 [RED] Unified FW: split networks does not work
  • NUTM-10384 [RED] Update hostapd for Unified-FW
  • NUTM-9026 [RED] TP-LINK MA260 dongle on RED doesn’t work anymore after update to v9.5
  • NUTM-9795 [RED] RED50 issue with large packets in Transparent/Split mode
  • NUTM-10060 [Reporting] ATP alerts / events not deleted after three days
  • NUTM-10201 [Reporting] Unable to download S/MIME internal user certificate
  • NUTM-10352 [Sandstorm] Sandstorm Activity Report table and graph do not show same data
  • NUTM-10367 [Sandstorm] Sandstorm Activity Graph does not include email cached results
  • NUTM-2644 [UI Framework] Webadmin prefetching list box not displaying any users, if one user contains a single tick
  • NUTM-10066 [WAF] Existing certificate chain overrides after new certificate chain has been added
  • NUTM-10185 [WAF] Using printenv SSI directive in custom theme causes segfault
  • NUTM-10315 [WAF] Let’s Encrypt can’t be enabled after upgrade from 9.5 (/etc/ssl/certs not accessible)
  • NUTM-10316 [WAF] Let’s Encrypt certificates allow wildcards in domain name list
  • NUTM-10332 [WAF] Let’s Encrypt not working over IPv6
  • NUTM-9809 [WAF] Potential memory allocation failure for “Rewrite HTML” + location with special characters
  • NUTM-10188 [WebAdmin] [OTP] QR code not visible for the first user login
  • NUTM-10214 [WebAdmin] Breach Vulnerability in WebAdmin (CVE-2013-3587)
  • NUTM-6945 [WebAdmin] Popup too small for secret when deleting SHA512 OTP token
  • NUTM-7381 [WebAdmin] Login to UserPortal only works at second try when using RADIUS authentication
  • NUTM-9424 [WebAdmin] Webadmin session interrupted with pop-up “Backend connection failed”
  • NUTM-10200 [Web] Segfault in libc-2.11.3.so
  • NUTM-10284 [Web] HTTP Proxy crash with coredumps
  • NUTM-9676 [Web] HTTP Proxy out-of-memory segfault / HTTP Proxy stops working with “Avira engine not available”
  • NUTM-9854 [Web] Warning page bypass using crafted URLs
  • NUTM-9873 [Web] File blocked due to MIME type detection even if there is an exception
  • NUTM-9956 [Web] HTTP Proxy coredumps in geoip scanner
  • NUTM-10365 [Wireless] RED15w: SSID isn’t broadcasted when “Enterprise Authentication” is in use
Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.