UTM 9.3 Known Issues

Hi Dominic

Is there a ETA for 9.301?

// Martin

@Martin:  It's out now.  See https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29675, scroll to the last few posts.

We found a critical issue with the IPS system.

If you host a website inside of your IPS range and access it from a remote side (here connected by ipsec), the IPS scramble the communication.

let me show a sample:

LAN 10.0.0.1/24 Protected by UTM IPS
Server IP 10.0.0.1 / Port 8000 / service http website

Client IP 192.168.1.10
connected by an open IPSEC tunnel without webproxy or other security stuff.

Sometimes the website will open, sometimes not ... sometime you get the half of that website, you could logon, then timeout ...

If you watch the IPS log, you will find no entry!

The solution is disabling the IPS - suddenly everything works fine!


This Bug is known, but unsolved for today ...

We discovered a critical issue with the IPS system v9.300 - 9.301.

If you host a website inside of your IPS range and access it from a remote side (here connected by ipsec), the IPS scramble the communication. (we do not talk about WebServerProtection)

Let me show a sample:

LAN 10.0.0.1/24 Protected by UTM IPS
Server IP 10.0.0.1 / Port 8000 / service http website

Client IP 192.168.1.10
connected by an open IPSEC tunnel without webproxy or other security stuff.

Sometimes the website will open, sometimes not ... sometime you get the half of that website, you could logon, then timeout ...

If you watch the IPS log, you will find no entry!

The solution is disabling the IPS - suddenly everything works fine!


This Bug is known, but unsolved for today ...

Daniels
Not just 9.3 it's the base IPS pattern is stuffed and also affects some 9.2 installs as well.
See a big thread in the IPS section

@ maxsecobj - Thanks - i'll have a look

One more Bug ?!?

Since 9.3 Update our AP30s lost the bridge2LAN communication after 5-10 minutes. If you reboot the AP it will work again for serveral minutes ...

Now we got a fix from sophos, but we discovered a new problem:

PING over WLAN AP to LAN is always:

1 ms

500ms

1ms

504ms

1ms

540ms

1ms

520ms

.......

sometimes also a packet is lost ...

This problem is persistent on all AP30s. If we change the device to an AP50, everything works fine

If you ping the APs IP from the LAN side, it is >1ms al the time ... not interrupt, no latency.

Is someone else affected?

Have you tried updating to 9.302?

i dont know if the SUM bug is what i encountered:

i have two paths to one destination (WLAN and VPN). "Bind to local interface" is active on the VPN. Route is set via static routing and an availibility group (1. WLAN, 2. VPN, "always resolved off"). With 9.2 the WLAN interface and the VPN where both up and the traffic was routed fine and failover worked just fine too.

since 9.3 i have to turn off one of both ways to get the traffic to flow. On the other side nothing changed so i think the update is the problem.

can someone confirm the issue?

i am on Sophos UTM Virtual Appliance 9.302-2

I have a home user version of UTM running in a virtual machine. It reported several different 9.3.x updates three days ago, which I installed. Nothing broke, but I am not doing much with it. It serves as a testbed.

I have a customer running a recently deployed UTM 120 appliance, and it is still running version 9.209-8. It is configured to check for firmware updates every 15 minutes, but it has not reported any of the version 9.3.x updates. 

The pattern versions match between the two UTM installations, so I believe that both UTMs are communicating with Sophos' servers.

QUESTION:
Is it normal for a virtual machine home UTM to receive firmware updates, but the physical UTM appliance not to receive them?

9.3x is being rolled out slowly in stages over several weeks.  Not all systems will see it at the moment.