Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 79 replies
  • Subscribers 4 subscribers
  • Views 60286 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Version 9.300-5 released (GA) ;)

twister5800
Just popped up on a non-beta device :-)

Up2Date 9.300005 package description:

Remarks:
 System will be rebooted
 Configuration will be upgraded
 Connected RED devices will perform firmware upgrade
 Connected Wifi APs will perform firmware upgrade

News:
 9.300 GA Release
 .
 Main Features:
 Web Filter: Time Quotas
 Web Filter: Policy Tagging
 Web Filter: Selective HTTPS Filtering
 SMTP/POP3 Proxy: Live AV Lookups in Sophos Antivirus
 SMTP Proxy: SPX Self-Registration
 SMTP Proxy: Support Attachments on Reply Portal
 Network: Support for Multiple Bridges
 Wifi: Various Hotspot Imporovements
 Hardware: Support for new SG1xx series
 .
 Other Features:
 Web Filter/SMTP Proxy: True File Type Detection
 Application Control: IPv6 Support
 ATP: Scan DNS Traffic going through UTM
 Network: DHCPv6 Relay
 Network: DHCP for VLAN Interfaces
 Network: Allow VLAN and non-VLAN Interfaces on same Hardware
 WAF: IP-based Access Control
 WAF: Wildcard Extension
 WAF: Username Prefix and Suffix
 Support: Sophos Customer Support Secure Access to UTM

Bugfixes:
 Fix [22468]: HTML5 iptables rule doesn't match for IPSec-routed hosts
 Fix [27257]: RED50 frequently reconnecting because configuring an Additional Address as UTM-Hostname is not supported
 Fix [27588]: Unable to fetch POP3 accounts on iOS devices via POP3 Proxy
 Fix [27750]: IPv6: Add support for DynDNS (Dyn & FreeDNS)
 Fix [27905]: [BETA] log the mac addresses human readable with leading zeros in the packetfilter log
 Fix [28056]: it's not possible to view or download large log files in the webadmin because root partition is too small
 Fix [28164]: OSPF and default route priority issues
 Fix [28400]: Syslog not started after ipsbundle pattern installation
 Fix [28842]: HA takeover if master reboots takes too much time
 Fix [28966]: exceptions for Common Threat Filters do not work individually
 Fix [29095]: [BETA] improve reporting filter naming for ATP
 Fix [29412]: Wireless Security Manager Role can't accept new AP's
 Fix [29963]: profile mode 'monitor' does not work for Cookie signing
 Fix [30008]: Problem with Remote IPsec access in case of ID type is ASN1 Distinguished Name and using static RAS IP
 Fix [30254]: Import of non UTF-8 certificate breaks Webadmin access
 Fix [30504]: Sometimes the sender_confd_profile is undefined in the profile object
 Fix [30800]: [BETA] Some double byte characters aren't filtered by DLP custom rule and AntiSpam Expressions filter.
 Fix [30825]: IPv6: Add support for DHCPv6 'rapid commit'
 Fix [30851]: emailpki_generate_user fails if pkcs12 file contains a cert twice
 Fix [31083]: Remote SSL VPN view is empty in printable configuration
 Fix [31105]: DynDNS: Add support for interface strategy for FreeDNS
 Fix [31116]: Performance and scalability improvements of HTTP proxy
 Fix [31164]: [BETA] Routing domain wildcards aren't working for SMTP profiles.
 Fix [31337]: Too long hostname will break layout in dashboard
 Fix [31340]: rsyncd not started after switching to master mode (slave node hangs in syncing state)
 Fix [31373]: Form hardening exception match but doesn't work
 Fix [31387]: ad-sid-sync.pl is executed even if AD sync is disabled
 Fix [31581]: Up2date pattern rpm's fails to install if hostname contains '/' character.
 Fix [31814]: nextgen-agent restarting permanently
 Fix [31859]: Make http proxy handle uncompressed DNS responses
 Fix [31992]: network range in network group shouldnt be allowed in allowed networks as per 21588
 Fix [32012]: Postgres startup problem because pg_xlog files are missing
 Fix [32034]: Full transparent AD SSO redirect URL request gets dropped by packetfilter
 Fix [32079]: UMTS modem device hanging
 Fix [32097]: High load after pattern installation [9.2]
 Fix [32190]: Policy tester always returns "allowed" if warn page is proceeded once
 Fix [32237]: Release of IPsec Pool IPs not working
 Fix [32286]: Sorting of APs in Webadmin
 Fix [32391]: UTM interface doesn't come up again after the speed changed from 4G to 3G
 Fix [32433]: Not possible to delete VPN tunnel managed by SUM after use "cleanup object"
 Fix [32537]: Guest login fails in transparent browser auth mode if "terms of use" confirmation is required
 Fix [32571]: [V9] Blocked HTTPS-Sites in Filter Action Mode 'Blacklist' doesn't match if Exception is matching on Categories
 Fix [32588]: Can't restore backup beacause of an undefined value
 Fix [32602]: Web control policy not applying to endpoints
 Fix [32604]: Special characters like umlauts didn't work in passwords with reverse authentication for the WAF
 Fix [32607]: Not possible to use virtual mac on lag interfaces
 Fix [32683]: Can't send a VPN Profile to the SMC if the Organization Name includes a umlaut
 Fix [32690]: It's not possible to use Subfolders for Remote Log File Archives over SMB on CIFS share
 Fix [32696]: Hotspot: only one login possible per username for backend authentication hotspot
 Fix [32703]: Multicast traffic problems after upgrading to SG430 and 9.204
 Fix [32711]: Mail preview should display kyrilic or chinese chars too.
 Fix [32713]: Console keyboard doesn't work
 Fix [32726]: Dashboard does not show Antivirus active protocols for HTTP/S
 Fix [32794]: vpn-reporter.pl segfault in get_amazonvpc
 Fix [32805]: NETDEV WATCHDOG: eth0 (tg3): transmit queue 0 timed out
 Fix [32832]: Remote Syslog Server IPv6 support
 Fix [32837]: vpn-reporter.pl segfaults, error 4 in libc-2.11.3.so
 Fix [32851]: Device auth reports wrong client information
 Fix [32852]: Any SSL traffic through HTTP proxy gets classified as "Sophos Portal" if a "Sophos Portal" AppCtrl rule exists
 Fix [32870]: ad-sid-sync.pl fails to lookup trusted domains groups
 Fix [32940]: SG550: Licensing does not work if module is relocated after installation
 Fix [32950]: Configuring a whitelist in webfilter filter action appears in blacklist on UTM
 Fix [32957]: winbindd died in kernel_vsyscall
 Fix [32969]: Coredumps from reverseproxy after update to v9.206
 Fix [32972]: IPS exception does not work for SID 18575
 Fix [32980]: Remove RC4 from TLS ciphers in Exim
 Fix [33019]: After upgrading to iOS 8 UTM does not recognize iOS anymore (Device-specific Authentication)
 Fix [33095]: RED50 frequently reconnecting because configuring an Additional Address as UTM-Hostname is not supported [9.3]
 Fix [33111]: Group matching incorrect if user belongs to static and backend groups
 Fix [33277]: [9.2] Add support for passthrough NTLM connection
 Fix [33307]: Not possible to change TLS certificate
 Fix [33323]: Using @ in hostname results in corrupt /etc/syslog-ng.conf
 Fix [33382]: Config changes in IPsec remote access sometime causing a drop of established connections
 Fix [33429]: AP100: Unable to authenticate with an SSID using a PSK with a dollar character
 Fix [33515]: SMTP Vulnerability in SSL v3.0
 Fix [33613]: OS X HTTPS traffic identified as iOS

RPM packages contained:
 libapr-util1-1.5.3-0.163086977.g26c6a07.rb3.i686.rpm
 libapr1-1.5.1-0.171540270.ga078e80.rb2.i686.rpm   
 libaptp-9.25-3.g297f84b.i686.rpm                  
 libgnutls26-2.4.1-24.39.45.1.1077.gb706d65.rb4.i686.rpm
 libnavlextensions-9.30-7.g4818041.rb1.i686.rpm    
 libnl-3.2.24-1.2.ga37d3c2.rb1.i686.rpm            
 libnuma1-2.0.7-0.9.1.1198.g32d2279.rb1.i686.rpm   
 libply-splash-core2-0.8.8_git201309032142-5.17.1218.g2a86518.rb1.i686.rpm
 libply-splash-graphics2-0.8.8_git201309032142-5.17.1218.g2a86518.rb1.i686.rpm
 libply2-0.8.8_git201309032142-5.17.1218.g2a86518.rb1.i686.rpm
 libsaviglue-9.26-3.gc9f83f2.rb3.i686.rpm          
 acpid-2.0.22-2.0.g9d8d88e.rb1.i686.rpm            
 client-openvpn-9.25-18.g09bbfdc.rb1.noarch.rpm    
 cm-nextgen-agent-9.30-2.g04b8713.rb1.i686.rpm     
 ddclient-3.8.2-37.ga1b4f41.rb1.noarch.rpm         
 firmware-wifi-9300-0.179309565.g0479a61.rb1.i586.rpm
 hostapd-2.2-1.0.179424617.g623b437.rb1.i686.rpm   
 iproute2-3.14.0-0.g6f4c3d5.rb1.i686.rpm           
 iw-3.14-1.0.165334297.g4ddcec6.rb1.i686.rpm       
 macset-9.26-1.g57fcf17.rb1.i686.rpm               
 modauthnzaua-9.30-44.gaa01a9b.rb2.i686.rpm        
 modavscan-9.25-171.gb09b52b.i686.rpm              
 modcookie-9.25-90.g697a3f1.i686.rpm               
 modformhardening-9.25-142.gd5b10c9.rb2.i686.rpm   
 modproxymsrpc-0.5-121.gc7f8565.i686.rpm           
 modreverseauth-9.30-46.g1fbdb81.rb2.i686.rpm      
 modsecurity2-2.7.4-112.g05dbb94.i686.rpm          
 modurlhardening-9.25-141.g0a29173.i686.rpm        
 modwafexceptions-9.25-233.gd69112c.rb1.i686.rpm   
 navl-tools-4.1.0.42+rev9-3.g963c468.rb1.i686.rpm  
 numactl-2.0.7-0.9.1.1198.g32d2279.rb1.i686.rpm    
 perf-tools-3.12.30-11.gdd65b32.rb5.i686.rpm       
 perl-DBD-Pg-3.2.1-1.573.g7ae9571.rb1.i686.rpm     
 perl-DBI-1.631-1.580.g7ae9571.rb1.i686.rpm        
 perl-Net-DNS-0.75-1.574.g7ae9571.rb1.i686.rpm     
 perl-Readonly-1.03-1.361.gdb7b5a2.noarch.rpm      
 perl-Sys-Statistics-Linux-0.54-1.836.g11f3b8a.rb1.noarch.rpm
 perl-Text-Iconv-1.7-1.582.g81a2ae7.i686.rpm       
 plymouth-0.8.8_git201309032142-5.17.1218.g2a86518.rb1.i686.rpm
 plymouth-plugin-script-0.8.8_git201309032142-5.17.1218.g2a86518.rb1.i686.rpm
 plymouth-scripts-0.8.8_git201309032142-5.17.1218.g2a86518.rb1.i686.rpm
 plymouth-theme-script-0.8.8_git201309032142-5.17.1218.g2a86518.rb1.i686.rpm
 red-firmware2-4010-0.g1f4521c.rb1.noarch.rpm      
 sophos-wifi-0.1-1.0.178023409.g93680a4.rb1.i686.rpm
 sysvinit-2.86-215.1.1432.g80272ef.rb1.i686.rpm    
 tcpdump-4.3.0-6.1.1236.gfaeda0c.rb2.i686.rpm      
 tools-9.30-7.ga162369.rb2.i686.rpm                
 ulogd-2.1.0-110.g2d01f49.rb1.i686.rpm             
 uma-9.26-12.gd113cc8.rb1.i686.rpm                 
 usb-modeswitch-2.1.0-12.g7d7be7a.i686.rpm         
 utm-lcd-0.6-0.177515326.g68943bc.rb1.i686.rpm     
 vineyard-plugin-4-57.gad0b968.rb1.i686.rpm        
 vineyard-plugin-tib-4-57.gad0b968.rb1.i686.rpm    
 xtables-addons-2.4-0.g1394663.rb2.i686.rpm        
 ep-reporting-9.30-3.g3473374.rb1.i686.rpm         
 ep-reporting-c-9.30-1.gd967cef.rb1.i686.rpm       
 ep-reporting-resources-9.30-3.g3473374.rb1.i686.rpm
 ep-aua-9.25-75.g217c3c8.rb2.i686.rpm              
 ep-awed-9.30-3.gc500897.rb1.i686.rpm              
 ep-awetools-9.25-0.170760218.g7a4e1c0.rb1.i686.rpm
 ep-branding-ASG-afg-9.26-2.ge73f245.rb1.noarch.rpm
 ep-branding-ASG-ang-9.26-2.ge73f245.rb1.noarch.rpm
 ep-branding-ASG-asg-9.26-2.ge73f245.rb1.noarch.rpm
 ep-branding-ASG-atg-9.26-2.ge73f245.rb1.noarch.rpm
 ep-branding-ASG-aug-9.26-2.ge73f245.rb1.noarch.rpm
 ep-confd-9.30-79.g3fbd9d9.i686.rpm                
 ep-confd-tools-9.26-8.gac58d56.rb1.i686.rpm       
 ep-cssd-9.26-2.ge51c9f8.rb1.i686.rpm              
 ep-endpoint-0.5-0.175779525.ge59d9c8.rb1.i686.rpm 
 ep-epsecd-9.25-21.g609c3e6.rb1.i686.rpm           
 ep-ha-9.25-32.g09bdf56.rb1.i686.rpm               
 ep-ha-confd-9.25-10.g81af50d.i686.rpm             
 ep-ha-daemon-9.26-3.gd30ef06.rb1.i686.rpm         
 ep-hardware-9.26-10.g64ae13d.rb1.i686.rpm         
 ep-hotspot-web-9.25-64.g887f918.rb1.i686.rpm      
 ep-hotspotd-9.26-1.g57fcf17.rb1.i686.rpm          
 ep-init-9.25-40.gac3cda0.rb2.noarch.rpm           
 ep-ipv6-watchdog-9.25-4.g9d615ef.rb1.i686.rpm     
 ep-libs-9.30-1.g11789f7.rb1.i686.rpm              
 ep-license-tools-9.25-8.gf94b464.rb1.i686.rpm     
 ep-localization-afg-9.30-14.gf48c44d.i686.rpm     
 ep-localization-ang-9.30-14.gf48c44d.i686.rpm     
 ep-localization-asg-9.30-14.gf48c44d.i686.rpm     
 ep-localization-atg-9.30-14.gf48c44d.i686.rpm     
 ep-localization-aug-9.30-14.gf48c44d.i686.rpm     
 ep-logging-9.25-4.gac1cbdb.rb1.i686.rpm           
 ep-mdw-9.30-72.gc7f5e14.rb1.i686.rpm              
 ep-postgresql92-9.25-16.g22219a5.rb1.i686.rpm     
 ep-raidtools-9.25-65.gea90088.i686.rpm            
 ep-red-9.26-15.gdb94d0f.rb1.i686.rpm              
 ep-screenmgr-9.30-0.gd855eff.rb10.i686.rpm        
 ep-tools-9.30-6.ge8beed4.rb1.i686.rpm             
 ep-up2date-9.30-28.ga63d6b6.rb1.i686.rpm          
 ep-up2date-downloader-9.30-28.ga63d6b6.rb1.i686.rpm
 ep-up2date-pattern-install-9.30-28.ga63d6b6.rb1.i686.rpm
 ep-up2date-system-install-9.30-28.ga63d6b6.rb1.i686.rpm
 ep-urid-9.26-1.g604dad9.rb1.i686.rpm              
 ep-webadmin-9.30-82.gf8aef8b.i686.rpm             
 ep-webadmin-contentmanager-9.30-1.gd69ed5b.rb2.i686.rpm
 ep-webadmin-spx-9.30-10.gd446ad1.rb1.i686.rpm     
 u2d-appctrl4-9-16.i686.rpm                        
 ep-chroot-dhcpc-9.25-2.g44dcb64.rb1.noarch.rpm    
 ep-chroot-dhcps-9.25-10.ge10ee34.rb1.noarch.rpm   
 ep-chroot-httpd-9.26-2.g180d182.noarch.rpm        
 ep-chroot-ppp-9.25-36.2.g1247fe5.noarch.rpm       
 ep-chroot-pppoe-9.25-36.2.g1247fe5.noarch.rpm     
 ep-chroot-smtp-9.30-10.gb544d38.rb1.i686.rpm      
 chroot-afc-9.25-10.g97dbf5b.rb1.i686.rpm          
 chroot-bind-9.9.5-1.ge6df733.rb1.i686.rpm         
 chroot-httpd-2.4.4-31.g732ba36.rb1.i686.rpm       
 chroot-ipsec-9.25-18.g6c97769.rb1.i686.rpm        
 chroot-openvpn-9.25-7.g0841b68.i686.rpm           
 chroot-reverseproxy-2.4.10-92.ge54ce0d.rb2.i686.rpm
 chroot-smtp-9.25-7.gbd10452.rb1.i686.rpm          
 dhcp-chroot-client-4.3.0-1.g5321a29.rb1.i686.rpm  
 dhcp-chroot-server-4.3.0-1.g5321a29.rb1.i686.rpm  
 ep-chroot-pop3-9.26-2.gb8d4ab3.rb1.i686.rpm       
 ep-httpproxy-9.30-20.g57d8bc0.rb1.i686.rpm        
 quagga-chroot-0.99.23-1.gb3c145a.rb2.i686.rpm     
 kernel-smp-3.12.30-11.gdd65b32.rb5.i686.rpm       
 kernel-smp64-3.12.30-11.gdd65b32.rb5.x86_64.rpm   
 ep-release-9.300-5.noarch.rpm


This thread was automatically locked due to age.
  • 0
    Twister, you could try to downgrade /etc/version and call audld.plx once more. Maybe you get the file again.
  • 0
    Elements of this (up2date) appear to be changing in/around 9.3 so extra improvisation/revision may be required.

    UTMs don't download updates from the public ftp servers but from up2date servers (see /etc/up2date/).  The particular updates available to a UTM are determined by the responses to authentice/u2dauth requests.

    For example, up2date servers might include v8up2date[123].astaro.com and (eu|sg|us)1.utmu2d.sophos.com (though they appear to HTTP 301 to cloudfront locations for at least some file types/sizes), directories might appear as something like /asg/v9/sys/ and filenames might include u2d-sys-9.209008-300005.tgz.gpg as mentioned by Twister5800.

    Combine those at your own risk to go "gamma".
  • 0 in reply to trollvottel
    Twister, you could try to downgrade /etc/version and call audld.plx once more. Maybe you get the file again.


    Thanks for the input [;)]

    I did that, and here is the result [:P] 

    2014:11:11-09:07:45 fw01 auisys[3761]: Starting installing up2date packages for type 'sys'

    2014:11:11-09:07:45 fw01 auisys[3761]: unpacking up2date package: /var/up2date/sys/u2d-sys-9.209008-300005.tgz.gpg

    2014:11:11-09:07:45 fw01 auisys[3761]: unpacking up2date package version: 9.300005

    2014:11:11-09:07:46 fw01 auisys[3761]: Verifying up2date package signature

    2014:11:11-09:07:49 fw01 auisys[3761]: Unpacking installation instructions

    2014:11:11-09:07:50 fw01 auisys[3761]: parsing installation instructions

    2014:11:11-09:07:51 fw01 auisys[3761]: Showdesc ok.

    2014:11:11-09:07:51 fw01 auisys[3761]: [INFO-301] New Firmware Up2Date is ready for installation 


    Here is the file:
    USE AT YOUR OWN RISK!!

    https://www.dropbox.com/s/9t6p0eavtoy5bf8/u2d-sys-9.209008-300005.tgz.gpg?dl=0
    [:D]

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0
    Don't use that link.

    It's possible for everyone to retrieve any U2D using the technique 'teched' described in post #13, just remember to use 'http', not 'https'.
  • 0 in reply to trollvottel
    Don't use that link.


    But why? - It's only a dropbox link, I have not modified anything to the package, but I surely understand your paranoia in theese times [;)]

    Anyway, Alda asked for it, so here it is [:)]

    But if it's "illegal", I will remove it, and people can use Teched's guide??

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0 in reply to twister5800
    Hi trollvottel,

    I think you're an insider, or am I wrong? In that case, would you not be a big problem for you to publish md5 file for this up2date file.

    Then we will be 100% sure. Or the Up2date file was published by mistake and then you would have to admit it.

    alda
  • 0
    No it was not published by mistake. The Up2Date spreading / staging process has begun but the first stage covers only a few customers to not flood support with possible issues.

    Just download the U2D from the U2D server as described by teched in post #13 and you won't need an MD5 sum. If you still want it, just append '.md5' to the filename within the URL to get it.

    I don't recommend to install this to important production sites, though. The Beta was ended way too early without fixing pending issues. I personally found at least 2 bugs after installing this at home, one very critical:

    * IPv6 router advertisements in my LAN don't have 'other config' flag enabled anymore (I'm using DHCPv6 and those RAs were auto-created by 9.300). That means my IPv6 clients won't care about DNS & Domain settings via DHCPv6. I fixed that by enabling 'other config' flag myself, but still a bug that this is necessary.

    * WiFi was completely down. I had to visit some Wireless protection pages in WebAdmin to get it up and running, looks like a broken configuration state somewhere after upgrading. And the AP30 reports 'link changed' every few seconds, cannot check right now if connectivity works at all, though:

    [...]
    2014:11:11-11:20:58 192.168.0.21 kernel: [ 4434.440000] rt305x-esw 10110000.esw: link changed 0x05
    2014:11:11-11:20:58 192.168.0.21 kernel: [ 4434.440000] rt305x-esw 10110000.esw: link changed 0x01
    2014:11:11-11:21:01 192.168.0.21 kernel: [ 4436.990000] rt305x-esw 10110000.esw: link changed 0x05
    2014:11:11-11:21:01 192.168.0.21 kernel: [ 4436.990000] rt305x-esw 10110000.esw: link changed 0x01
    2014:11:11-11:21:03 192.168.0.21 kernel: [ 4439.150000] rt305x-esw 10110000.esw: link changed 0x05
    2014:11:11-11:21:03 192.168.0.21 kernel: [ 4439.150000] rt305x-esw 10110000.esw: link changed 0x01
    2014:11:11-11:21:07 192.168.0.21 kernel: [ 4443.470000] rt305x-esw 10110000.esw: link changed 0x05
    [...]


    All in all: Yet another great release.
  • 0
    UTM 120 from one of my clients just sent me an email notification. 
    It is fresh installation, still in 30-day evaluation period if that matters.

    Since it is not yet in production I am going to perform up2date...wil post back if any problem noticed.

    The following Firmware Up2Date package has been successfully downloaded and is now available for installation: 9.300005

    For more information about this package please see the attached information.
            
    -- 
    System Uptime      : 7 days 16 hours 33 minutes
    System Load        : 0.56
    System Version     : Sophos UTM 9.209-8
  • 0
    Yes, trial licenses are allowed for staging as they're not considered running production.
  • 0
    Another Bug BUG for WIFI:

    If your WPA Key includes a "\" it will be changed during the upgrade process to "\"

    Sample: Key before: "BlaBla\hu" will be "BlaBla\hu" after the upgrade to 9.3.

    That is a confirmed bug, wich kills our WLAN infrastructure ...

    You can not reset the key ... a second "\" will be added while you try to save [;)]
Unfiltered HTML