Release Note TROYgate-System-Software 4.2-5-0 August 2007 Einleitung Dieses Dokument beschreibt neue Funktionen, Änderungen, behobene- und bekannte Fehler der System- Software 4.2-5-0. Technische Unterstützung Um technische Unterstützung zu erhalten können Sie den TROYgate Support via Telefon oder E-Mail erreichen. Wenn Sie den technischen Support kontaktieren, halten Sie bitte folgende Informationen bereit: verwendete System-Software Version Geräte-ID TROYgate Support IP-Adresse Diese Informationen können Sie über den Menüpunkt»Home Systeminformation«in der TROYgate Konfigurationsoberfläche auslesen. So erreichen Sie den technischen Support: TROYgate Endkunden : +49-7032-95596-21 : support-germany@silexeurope.com TROYgate Fachhändler : +49-7032-95596-21 : support-germany@silexeurope.com Installation Wichtig: Dieses Release kann nur auf einem TROYgate mit der installierten System-Software Version 4.2-4-0 oder höher installiert werden. Haben Sie einen älteren Firmwarestand, bitte installieren Sie vorher alle notwendigen Updates der Reihenfolge nach. Beispiel: Ihr TROYgate hat die System-Software Version 4.1-3-4 installiert. Um jetzt auf die System-Software Version 4.2-5-0 updaten zu können, müssen Sie zuvor mindestens die Version 4.2-4.0 installieren. In diesem Beispiel zuerst folgende Versionen: Basis: 4.1-3-3 1. 4.1-4-0 2. 4.2-1-0 3. 4.2-2-0 Seite 1 von 5
4. 4.2-3-0 5. 4.2-4-0 6. 4.2-5.0 Auch für zukünftige Updates behalten Sie dieses Verfahren bitte bei. Sollte sich diesbezüglich eine Änderung ergeben, dann werden wir dieses explizit in der jeweiligen Release Note erwähnen. Zur Installation: Erstellen Sie bitte zu Ihrer eigenen Sicherheit ein System-, Benutzer- und ggf. auch ein Mailbackup. Downloaden Sie die Update-Software Version 4.2-5-0 von der TROYgate Update-Webseite. Diese erreichen Sie unter http://update.sx-gate.de/firmware.html. Führen Sie über den Menüpunkt»Administration Update«ein interaktives Update durch. Wählen Sie dazu die Option»Das Update interaktiv durchführen.«aus und folgen Sie den Anweisungen auf dem Bildschirm. Klicken Sie im Folgenden auf»weiter«um das Update automatisch installieren zu lassen. Über den Fortgang des Updates und ggf. einen Reboot des TROYgate werden Sie im interaktiven Update-Log informiert. Sie haben zusätzlich die Möglichkeit ein manuelles Update durchzuführen. Wählen Sie dazu bitte im Menü die Option»Eine vorhandene Update-Datei manuell einspielen«. Folgen Sie dann den Anweisungen auf dem Bildschirm. Neue Funktionen dieser Version Sicherheitskritisch: Mögliche Cache-Poisoning Attacke gegen DNS Der bisherige Zufallszahlen-Algorithmus des Name-Servers ermöglichte es mit einer gewissen Wahrscheinlichkeit die ID der nächsten Anfrage zu ermitteln. Dies wiederum ist Voraussetzung für eine Cache-Poisoning Attacke. Sicherheitskritisch: Systemabstürze durch dynamische Firewall Bei aktivierter dynamischer Firewall konnte es vereinzelt zu Systemabstürzen kommen. Bugfix: Fehler in graphischer Speicherstatistik In der Statistik wurde zeitweise zu wenig physikalischer Speicher als belegt angezeigt. Update: F-Secure Virenscanner Mit dem Update erfolgt der Wechsel auf die F-Secure Antivirus 5.52 / F-Secure Security Platform 1.10. Achtung: Die neue Version benötigt andere Signaturen. Aktualisieren Sie bitte die Signaturen zeitnah nachdem das Update abgeschlossen ist. Bugfix: Verbesserte Fehlermeldung wenn Kaspersky Virenscanner abgelaufen ist Kleinere Bugfixes und Verbesserungen Seite 2 von 5
Bereits umgesetzte Änderungen Release 4.2-4.4 Sicherheitskritisch: Hohe Systemlast bzw. Absturz der dynamischen Firewall Nach Aktualisierung der Konfiguration der dynamischen Firewall konnte die Systemlast stark ansteigen oder der Dienst abstürzen. Ferner hat sich der Dienst beendet, wenn es zu Kommunikationsproblemen beim Versand von Benachrichtigungs-E-Mails kam. Bugfix: Hohe Systemlast durch OLE-Entpacker E-Mail-Anhänge die als OLE-Dateien ausgewiesen sind, werden vom Mail-Virenscan-Modul an den entsprechenden OLE-Entpacker weitergegeben. Handelt es sich bei dem Anhang tatsächlich nicht um ein OLE-Format, konnte dies zu hoher Systembelastung führen. Bugfix: Herrenlose Dateien in der Mail-Server Warteschlange Unter bestimmten Umständen wurden Dateien nicht mehr aus der Warteschlange des Mail- Servers gelöscht. Bugfix: Umgehungsmöglichkeit für Web-Proxy Benutzerkontingente Bei aktiviertem Virenscan-Proxy war es möglich, die Kontingente durch Großbuchstaben im Login zu umgehen. Änderung: Verbesserte Signatur-Update Benachrichtigung Der aktuelle Stand der Virenscanner-Signaturen ist schon aus dem Betreff der E-Mail ersichtlich. Release 4.2-4.3 Sicherheitskritisch: Mittel- und langfristige Analyse der dynamischen Firewall Seit Update 4.2-4.2 funktionieren die mittel- und langfristigen Analysen auf ADSL-, L2TPund Analogmodem-Schnittstellen nicht mehr. Dieses Problem wurde in dieser Version behoben Sicherheitskritisch: Blockade der Nachrichtenverarbeitung des dyn. Firewalls Beim Aktualisieren der Konfiguration des dynamischen Firewalls konnte es zu einer internen Blockade kommen. In deren Folge wurden intern keine Nachrichten über neue Angriffe mehr verarbeitet. Bugfix: Neue Kaspersky Antivirus Version Die neue Version behebt die Probleme mit der erweiterten Signatur-Datenbank. Das Update reaktiviert die erweiterten Signaturen auf Systemen bei denen diese deaktiviert wurden. Seite 3 von 5
Bugfix: Mögliche Überlastung des SPAM-Filters Im SPAM-Filter wurde ein Problem bei der Analyse extrem langer URLs bekannt. Das System benötigt dadurch überdurchschnittlich lang bei der Verarbeitung entsprechender E-Mails. Neu: Spezielles Reverse-Proxy Backend für Outlook-Web-Access Für den Zugriff auf Outlook-Web-Access (OWA) steht in der Reverse-Proxy-Konfiguration nun ein eigenes Eingabefeld bereit. Nutzen Sie dieses anstelle von "Benutzerdefinierter Hintergrundserver" um den Zugriff ausschließlich für die von OWA genutzten URLs freizuschalten. Änderung: Definition der ein- bzw. ausgehenden Mails im Mail-Server Vom TROYgate wurden E-Mails aus ausgehend erkannt, wenn Sie von einer internen IP- Adresse oder dem Webmail-Client gesendet wurden. Ab sofort beinhaltet diese Definition auch E-Mails die via Benutzeranmeldung (SMTP-Auth) an das TROYgate gesendet wurden. Dies wirkt sich insbesondere auf die "Text-Zusatz"-Funktion, also das automatische Anhängen eines Textbausteins an ausgehende Mails aus. Betroffen sind außerdem die Archivierungs-Funktion und, je nach gewählter Einstellung, auch der MIME-Filter. Der Relay- SPAM-Filter bearbeitet zukünftig keine authentifizierten E-Mails mehr. Bislang wurden ausschließlich E-Mails von internen IP-Adressen ungeprüft weitergeleitet. Release 4.2-4.2 Sicherheitskritisch: Fehlerhafte Zuweisung der Schnittstellen-Konfiguration des dyn. Firewalls Seit Version 4.2-4.0 konnte es vorkommen, dass die dynamische Firewall bei Ethernet- Schnittstellen auf die konfigurierten Parameter der falschen Schnittstelle zurückgreift. Im schlimmsten Fall werden keine aktiven Gegenmaßnahmen ergriffen. Update: Neue SPAM-Filter Version Mit der neuen Version wird zugleich auch die Regeldatenbank aktualisiert und stark erweitert. Die Qualität der SPAM-Erkennung profitiert davon deutlich. Auch wenn sich der durchschnittlich erzielte Punktewert bei der SPAM-Bewertung leicht verändert, liegt der empfohlene Punktewert für die Markierung von E-Mails als SPAM nach wie vor zwischen 2 und 3 Punkten. Aufgrund von geänderten Lizenzbedingungen darf der DCC-Dienst nicht mehr genutzt werden. Mit dem Update wird automatisch auf das vergleichbare Razor2-System umgestellt wenn bislang DCC aktiviert war. Sofern eine vorgelagerte Firewall den Internet-Zugriff beschränkt, muss anstelle des UDP-Ports 6277 nun TCP-Port 2307 geöffnet werden. Neu: Unterstützung von McAfee 5100 Seitens McAfee endet die offizielle Unterstützung für die 4400 Scan-Engines Ende Januar 2007. Die neuere Version des Scanners war bislang inkompatibel. Das System wird mit diesem Update für die neuen Engines vorbereitet. Vor der Installation der neuen Engine muss das spezielle McAfee-Support-Pack installiert werden, das unter der Adresse http://update.troygate.de/firmware.html verfügbar ist. Bugfix: Vereinzelte Probleme mit gestopptem IPSec-Dienst nach ADSL Neustart seit 4.2-4.0 Release 4.2-4.1 Seite 4 von 5
Bugfix: Fehler in Kaspersky-Antivirus-Signaturen Die am Abend des 15.01.2007 veröffentlichten Signaturen des Kaspersky-Antivirus führen aus bislang unbekanntem Grund zu Problemen beim Virenscanner. Das Problem liegt in den "erweiterten Signaturen", die mit diesem Update vorübergehend ausgeschaltet werden. Der Virenschutz als solches ist von dieser Maßnahme nicht betroffen. Allerdings wird sogenannte "Greyware" nicht mehr erkannt. Wichtig: Solange Kaspersky der einzige installierte Scanner ist, lassen Proxies und Mailserver keine Downloads und Mails durch. Es gibt keinen Grund zur Besorgnis. Bugfix: Potentieller Absturz des IPSec-Servers Bei Preshared-Key-Verbindungen bei denen sich Client und Server nicht über die Perfect- Forward-Secrecy-Option einigen können kam es zum Absturz des IPSec-Servers. Update: Spyware-Datenbanken für Firewall und DNS Hinweis Die in dieser Release Note enthaltenen Informationen beruhen auf sorgfältiger Recherche. Dennoch lässt es sich nicht ausschließen, dass eine Information im Einzelfall unzutreffend ist. Wir bitte daher um Ihr Verständnis, wenn wir keine Gewähr für die Richtigkeit der Informationen übernehmen und jede Haftung ausschließen. Sollten Sie feststellen, dass eine Information unzutreffend ist, bitten wir um Rückmeldung. Richten Sie diese bitte an: support-germany@silexeurope.com Erstellt am: 21.08.2007 Seite 5 von 5