Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 68 replies
  • Subscribers 4 subscribers
  • Views 48735 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM v.9.005015 Soft-Release

Scott_Klassen
We just uploaded the UTM 9.005 Up2Date package to our FTP servers as  soft-release.  Please kick the tires and give it a try.

Angelo incoming:
9.005 contains a ton of compatibility improvements and stability enhancements for your Sophos UTM 9 release. In addition to adding official support for our new RED50 appliance, we have worked very hard to polish up the Web Filter and Wireless Protection areas of UTM 9, optimizing memory usage/consumption while plugging a few pesky memory leaks! The WAF has been improved with several bug fixes, and some reporting issues were also addressed. Internally, we have almost 100 issues that were addressed across many areas. For the best UTM 9 experience, you can install this soft-release now, or wait for the official GA in a weeks time (targeted estimate). Note that with the new incremental update system in UTM 9, if we do make changes to the GA from the soft-release issue, your installation will Up2date at that time without the need to roll back or perform command line trickery like editing the version number.
Enjoy! Let us know what you think, the dev's, myself, and other staff will monitor this thread until the GA Release.
/Angelo



Sophos UTM v.9.005015 Soft-Release

News

  • Support for RED50 appliances
  • Stability fixes for Web Filter
  • Stability fixes for Wireless APs
  • Bug fixes for Application Control
  • Updated timezone definitions


Remarks

  • System will be rebooted
  • Configuration will be upgraded
  • Connected Wifi APs will perform firmware upgrade
  • Connected RED devices will perform firmware upgrade


Bugfixes

  • 21785 Transparent Authentication does not work for IPv6 when SSL scanning is active
  • [V9] Form Hardening blocks request due to missing token, although URL Hardening Exception should allow access
  • 22456 Empty graphs in Hardware and Network Usage
  • 23179 Form Hardening doesn't support image type input form buttons


Download:
Up2Date Link: http://ftp.astaro.com/UTM/v9/up2date/u2d-sys-9.005015.tgz.gpg
Up2Date MD5Sum Link: http://ftp.astaro.com/UTM/v9/up2date/u2d-sys-9.005015.tgz.gpg.md5
Size: ~107 MB
MD5Sum: 0856b37fdf8060b8fac1710d7e0036f1


This thread was automatically locked due to age.
  • 0 in reply to x-cimo
    All-

    I had some time to look at the local content filter database. With the content filter enabled (cc set http sc_local_db disk) the restartig the proxy (/var/mdw/scripts/httpproxy restart) the ASG does down load the database. This was confirmed using ls -lh /var/chroot-http/var/patten/sfcontrol. Ping time decreased when using speed test .net for reference. Ping dropped from an average of 57ms to 26ms, expected latency result. Restarted device, no internet access. Ran ls -lh /var/chroot-http/var/pattern/sfcontrol, total 0. Verified setting cc get http sc_local_db disk. Restarted the proxy, and monitored the db size. In very short time DB size at 378.mb. I have concluded that the db is being deleted during the ASG restart process. Confirmed by several restart cycles. This answers the process of an exhibited behavior. However why remains a mystery as does absence of consistency for everyone who uses the local db. Please excuse the remedial steps documented. At some point I am hopeful the remainder of the aliquot will become clear.  

    Thanks,
    Jim
  • 0 in reply to x-cimo
    Its not released in GA.  You can apply it manually from the first post.


    Any idea when is the GA released?
  • 0
    IIRC in the next few days..then about a week or so for the updates to be sent to all utm installations.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Just want to point out, that memory leak an swapping are still not or not finally  fixed in this 9.005 soft release.

    As seen on the attachments, my swap still increases steadily from the point of installing the 9.005 update. And this is on a 4GB virtual UTM in my home setup, really not heavily used, only by 6-8 people.
    (Will not imagine what this would be on an UTM 120 with only 2GBs...)

    And the point that I still don't get...why is it swapping, when still 45% of RAM are not in use? How about using RAM first and then swap? From my old linux days, this was common behaviour, did anything change?
  • 0
    Just want to point out, that memory leak an swapping are still not or not finally  fixed in this 9.005 soft release.

    As seen on the attachments, my swap still increases steadily from the point of installing the 9.005 update. And this is on a 4GB virtual UTM in my home setup, really not heavily used, only by 6-8 people.
    (Will not imagine what this would be on an UTM 120 with only 2GBs...)

    And the point that I still don't get...why is it swapping, when still 45% of RAM are not in use? How about using RAM first and then swap? From my old linux days, this was common behaviour, did anything change?


    Nothing has changed in Linux behavior this is solely at the feet of Sophos

    Sent from my Galaxy Nexus using Astaro.org

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    I've maintained 4 gigs is the minimum for awhile... There are serious memory management issues inside UTM.  I warned about this back before UTM even thought about v9 beta...aka this issue was starting to show itself in v8.5.  The real problems began waaasaay back when they went to a proprietary http proxy.  The http proxy has been a thorn in both their sides and ours and with v9 IPS issues as well.  After some friction between myself and the devs there are signs the issues are being addressed.....let's hope this continues..it isn't going to be an instant process....

    Sent from my Galaxy Nexus using Astaro.org

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    William ist sooo right on this! I read his posts in the beta forum and he showed detailed that the installations were swapping to much an the ram consumption was to high.

    I also noticed this and totally agree with him. It was more than clear that this issues will come up!

    The hardware requierements should be put up to min 4GB and the RAM intstalled in the UTMs should also be more than 2GB. For a small box like 110/120 with Full Guard an all Services turned on and with 50 -75 people using it, 2GB is faaar to low for that leaking UTM system and faaar to low for not swapping.

    And keep in mind, every swap will effect performance, cause hard drives will never be as fast as the data in the RAM.


    Posted 11.07.12 and there where more in the V9 Betas.

    So, I know William, I know... sad thing...
  • 0
    My storage file usage for some reason just went through the roof, before it was a constant 13%, then after I updated, went to 51%.  This is very visible in my Partition Usage graph under Hardware (Logging & Reporting).

    I have been running constant 13% usage for the longest time, changed absolutely nothing and it shot up once I updated.

    Mem usage is up a bit, (47% from 38%), and I do not keep a local content database.

    I have my AV scan set so that it doesn't scan anything basically over 1MB (and let the client do this) so it is also not storing any files, scanning them then allowing the user to download it.

    OPNSense 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | ATT Fiber 1GB
    (Former Sophos UTM Veteran, Former XG Rookie)

  • 0
    Issue with 9.005-15 and Amazon Kindle over AP50

    Fascinating. Cannot connect anymore any of my two Amazon Kindle via UTM WIFI (AP50). Did always work in the past [:S]

    Get this in the wireless log 

    2013:02:25-22:19:13 192.168.10.111 awelogger[2226]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="GuestNET" ssid_id="WLAN1.0" bssid="00:1a:8c:0b:34:11" sta="e0:cb:1d:16:16:94" status_code="0"

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.11: authenticated

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.11: association OK (aid 1)

    2013:02:25-22:19:13 192.168.10.111 awelogger[2226]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="GuestNET" ssid_id="WLAN1.0" bssid="00:1a:8c:0b:34:11" sta="e0:cb:1d:16:16:94" status_code="0"

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.11: associated (aid 1)

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 MLME: MLME-ASSOCIATE.indication(e0:cb:1d:16:16:94)

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 MLME: MLME-DELETEKEYS.request(e0:cb:1d:16:16:94)

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: event 1 notification

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: start authentication

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.1X: unauthorizing port

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: sending 1/4 msg of 4-Way Handshake

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: received EAPOL-Key frame (2/4 Pairwise)

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: sending 3/4 msg of 4-Way Handshake

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: received EAPOL-Key frame (4/4 Pairwise)

    2013:02:25-22:19:13 192.168.10.111 awelogger[2226]: id="4101" severity="info" sys="System" sub="WiFi" name="STA connected" ssid="GuestNET" ssid_id="WLAN1.0" bssid="00:1a:8c:0b:34:11" sta="e0:cb:1d:16:16:94"

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.1X: authorizing port

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 RADIUS: starting accounting session 512BD41B-0000002D

    2013:02:25-22:19:13 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: pairwise key handshake completed (RSN)

    2013:02:25-22:19:38 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: event 2 notification

    2013:02:25-22:19:38 192.168.10.111 awelogger[2226]: id="4102" severity="info" sys="System" sub="WiFi" name="STA disconnected" ssid="GuestNET" ssid_id="WLAN1.0" bssid="00:1a:8c:0b:34:11" sta="e0:cb:1d:16:16:94"

    2013:02:25-22:19:38 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.1X: unauthorizing port

    2013:02:25-22:19:38 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.11: disassociated

    2013:02:25-22:19:38 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 MLME: MLME-DISASSOCIATE.indication(e0:cb:1d:16:16:94, 8)

    2013:02:25-22:19:38 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 MLME: MLME-DELETEKEYS.request(e0:cb:1d:16:16:94)

    2013:02:25-22:19:38 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: event 3 notification

    2013:02:25-22:19:38 192.168.10.111 awelogger[2226]: id="4102" severity="info" sys="System" sub="WiFi" name="STA disconnected" ssid="GuestNET" ssid_id="WLAN1.0" bssid="00:1a:8c:0b:34:11" sta="e0:cb:1d:16:16:94"

    2013:02:25-22:19:38 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.1X: unauthorizing port

    2013:02:25-22:19:38 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.11: deauthenticated

    2013:02:25-22:19:38 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 MLME: MLME-DEAUTHENTICATE.indication(e0:cb:1d:16:16:94, 3)

    2013:02:25-22:19:38 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 MLME: MLME-DELETEKEYS.request(e0:cb:1d:16:16:94)

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.11: authentication OK (open system)

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 MLME: MLME-AUTHENTICATE.indication(e0:cb:1d:16:16:94, OPEN_SYSTEM)

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 MLME: MLME-DELETEKEYS.request(e0:cb:1d:16:16:94)

    2013:02:25-22:19:39 192.168.10.111 awelogger[2226]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="GuestNET" ssid_id="WLAN1.0" bssid="00:1a:8c:0b:34:11" sta="e0:cb:1d:16:16:94" status_code="0"

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.11: authenticated

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.11: association OK (aid 1)

    2013:02:25-22:19:39 192.168.10.111 awelogger[2226]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="GuestNET" ssid_id="WLAN1.0" bssid="00:1a:8c:0b:34:11" sta="e0:cb:1d:16:16:94" status_code="0"

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.11: associated (aid 1)

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 MLME: MLME-ASSOCIATE.indication(e0:cb:1d:16:16:94)

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 MLME: MLME-DELETEKEYS.request(e0:cb:1d:16:16:94)

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: event 1 notification

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 WPA: start authentication

    2013:02:25-22:19:39 192.168.10.111 hostapd: wlan1: STA e0:cb:1d:16:16:94 IEEE 802.1X: unauthorizing port


    The Kindle uses (I assume) most recent firmware 4.1.1

    Does anyone else see same issue with his kindle and UTM 9.005 and AP50 ?

    /Sascha
  • 0 in reply to GuyFawkes
    Hi, we have also problems, to update many ha-cluster, only with the slave!

    On the last two updates also failed, but the login to the shell is not possible anymore and the slave is dead. This problem occurred in two different systems (shell or WebAdmin).

    Nice greetings


    Hi, 
    when you upload the up2date package to a HA/cluster system, it needs to be synced to all nodes. So just wait some minutes and it should work. 
    Hint: Slave is the first who will do the update. So if the sync process is not finished, the update will fail.
    I tried to reproduce the issue several times on a 4-node cluster, but it always worked fine.
Unfiltered HTML