################################################################################ # ____ _ _ _ _ # # | _ \ ___| | ___ __ _ ___ ___ | \ | | ___ | |_ ___ ___ # # | |_) / _ \ |/ _ \/ _` / __|/ _ \ | \| |/ _ \| __/ _ \/ __| # # | _ < __/ | __/ (_| \__ \ __/ | |\ | (_) | || __/\__ \ # # |_| \_\___|_|\___|\__,_|___/\___| |_| \_|\___/ \__\___||___/ # # # # # # Version(s) : TDT APOS 2.1.0 (Minor Release) # # # # Languages : Deutsch & English (below) # # # ################################################################################ ## ACHTUNG / ATTENTION * SICHERHEIT!!! / SECURITY!!! - Kernel bump to 4.14.209 to fix CVE-2020-25705. - Fix in `libuci` for CVE-2020-28951. - `curl` patch for CVE-2020-8169. - Patch for `tcpdump` to fix CVE-2020-8037. - Update OpenSSL to version 1.1.1i to fix CVE-2020-1971. - OpenVPN: Tunnel mit aktivier Kompression (comp-lzo; compress) sind mittels VORACLE Attacke (MITM) potentiell angreifbar. - OpenVPN: Tunnels with activated compression (comp-lzo; compress) are potentially vulnerable to VORACLE attack (MITM). * OpenVPN Parameter abgekündigt / deprecated: - Der Parameter `comp-lzo` ist zudem auch abgekündigt und wird in einer der nächsten Versionen entfernt. Auch `compress` ist als deprecated markiert. - The parameter `comp-lzo` is deprecated and will be removed in one of the next versions. Also `compress` is marked as deprecated. ## Konfigurationsempfehlung / Configuration recommendation * OpenVPN VORACLE - Zur Vermeidung von VORACLE Attacken empfehlen wir die Parameter - `comp-lzo` auf `no` und - `compress` auf `stub-v2` zu ändern. - Zusätzlich können die Parameter vom Server an Clients gepushed werden: - Dazu `push` mit `comp-lzo no` und - `push` mit `compress stub-v2` an OpenVPN Servern einfügen. * OpenVPN VORACLE - To avoid VORACLE attacks we recommend to change the parameters: - `comp-lzo` to `no` and - `compress` to `stub-v2`. - Additionally the parameters can be pushed from server to clients: - To do this, add `push` with `comp-lzo no` and - `push` with `compress stub-v2` to OpenVPN Servers. ################################################################################ # # # Version : TDT APOS 2.1.0 # # # # Type : Minor Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: * Linux Kernel von Version 4.14.176 auf 4.14.209 aktualisiert. Neue Funktionen: * ACME (Let's Encrypt): - Unterstützung des ACME Protokolls für Let's Encrypt eingeführt. * WireGuard: - WireGuard Assistent zum Anlegen einer Schnittstelle. - Assisten zum Erzeugen von Client Konfiguratonen für eine bestehende Schnittstelle mit Download der Client Konfiguration und QR-Code. * WLAN: - Wifiscan wurde entfernt und durch den WLAN-Manager ersetzt. * Checkmk: - Webinterface zur Basis-Konfiguration integriert, mit Unterstützung von: - einem Skript für Local Checks (/etc/checkmk-local.user) und - Checkmk Plugin Skript (/etc/checkmk-plugins.user). * Xinetd: - Webinterface zur Konfiguration von Xinetd Services implementiert. * VPN Aktionen: - Die VPN Aktionen wurden aus Schnittstellen in die Rubrik VPN verschoben. - Die Funktionalität wurde komplett überarbeitet. - WireGuard wurd als VPN-Protokoll mit aufgenommen. Fehlerbehebungen: -- Optimierungen: * Schnittstellen: - wwan: Log Optimierungen (failure und dial count). * TDT Online Firmware Update (signedupdater): - Um Logmeldung bei Verbindungsfehler erweitert. * OpenVPN: - Sicherheitshinweis bei `comp-lzo` und `compress`. - `stub-v2` bei `compress` eingeführt. - Aktualisierung der OpenVPN-Rezepte: - Neue Version mit deaktivierter Kompression. - Ein leeres Template eingeführt. - Template für Roadwarrior Konfigurationen einfügt. - Unterstütung nun standardmäßig up/down Hotplug Events (/etc/openvpn.user). - Update der `tls-cipher` auf IANA konformes Namensschema. - Spript zum dynamischen Hinzufügen von Kernel-Routen anhand von CCD-Dateien im System für `client-connect` und `client-disconnect` aufgenommen. * Diagramme/Benachrichtigungen (collectd) auf Version 5.12.0 aktualisiert: - Anpassungen und Erweiterungen der DSL-Graphen. - Anpassungen und Erweiterungen der Mobilfunk-Graphen. - Email bei neuem Update um die Kurznotizen erweitert. - Seriennummer wird bei Mailversand jetzt im Betreff mit angegeben. * Weboberfläche: - Die neu erstellten Zertifikate für HTTPS enthalten nun die Seriennummer. - Überarbeitung und Verbesserung der deutschen Übersetzung. * Interne Änderungen: - LED Trigger für MultiWAN Manager Schnittstellen eingeführt. - Neues Handling bei SSH Prompt und Title. - Sandbox mit SSH Login Banner und eigenen Prompt versehen. - Prompt für sensible Hosts wie z.B. Zentralkomponenten eingeführt: `uci set system.@system[0].sensitive_host='1'; uci commit` - Möglichkeit individuelle Einstellungen über Werksreset vorzuhalten. - cluster-sync in System aufgenommen. - ipsec ist im Auslieferungszustand wieder gestartet. - Weitere systemweite Anpassungen/Optimierungen. - ca-certificates Update auf Version 20200601 - easycwmp Update auf Version 1.8.6 - gnutls Update auf Version 3.6.15 (security fix) - mac80211 Update auf Version 4.19.137 - mwan3 Update auf Version 2.8.13 - ntpd Update auf Version 4.2.8p15 (security fix) - openssl Update auf Version 1.1.1h - wireguard Update auf Version 1.0.20200611 Sicherheitsempfehlung: * SICHERHEIT!!! - Kernel Update auf 4.14.209 um CVE-2020-25705 zu beheben. - Fix in `libuci` für CVE-2020-28951. - `curl` Patch für CVE-2020-8169. - Patch für `tcpdump` um CVE-2020-8037 zu fixen. - Update der OpenSSL Version auf 1.1.1i um CVE-2020-1971 zu behebn. ################################################################################ ################################################################################ # # # Version : TDT APOS 2.1.0 # # # # Type : Minor Release # # # # Language : English # # # ################################################################################ General: * Linux kernel updated from version 4.14.176 to 4.14.199. New functions: * ACME (Let's Encrypt): - Support of the ACME protocol for Let's Encrypt introduced. * WireGuard: - WireGuard Wizard for creating an interface. - Wizards for creating client configurations for an existing interface with download of the client configuration and QR code. * Wi-Fi: - Wifiscan has been removed and replaced by Wireless Manager. * Checkmk: - Web interface for basic configuration integrated, with support of: - a script for local checks (/etc/checkmk-local.user) and - Checkmk plugin script (/etc/checkmk-plugins.user). * Xinetd: - Web interface for configuration of Xinetd services implemented. * VPN actions: - The VPN actions were moved from interfaces to the category VPN. - The functionality was completely revised. - WireGuard was included as VPN protocol. Fixes: -- Optimizations: * Interfaces: - wwan: Log optimizations (failure and dial count). * TDT Online Firmware Update (signedupdater): - Extended by log message in case of connection error. * OpenVPN: - Safety note at `comp-lzo` and `compress`. - `stub-v2` introduced at `compress`. - Update of OpenVPN recipes: - New version with compression disabled. - Introduced an empty template. - Template for Roadwarrior configurations added. - Supports now up/down hotplug events (/etc/openvpn.user) by default. - Updated `tls-cipher` to IANA compliant naming scheme. - Script to dynamically add kernel routes based on CCD files included in the system for `client-connect` and `client-disconnect`. * Graphs/Notifications (collectd) updated to version 5.12.0: - Adjustments and extensions of the DSL graphs. - Modifications and extensions of the Cellular graphs. - Email extended to contain the short notes in case of new update. - Serial number is now included in subject line of emails. * Web interface: - The newly created certificates for HTTPS now contain the serial number. - Overarrangement and improvement of the German translation. * Internal changes: - LED trigger for MultiWAN Manager interfaces introduced. - New handling for SSH Prompt and Title. - Sandbox with SSH Login Banner and own Prompt. - Prompt for sensitive hosts such as central components introduced: `uci set system.@system[0].sensitive_host='1'; uci commit` - Possibility to provide individual settings via factory reset. - cluster-sync added to the system. - ipsec is now enabled again in the delivery state. - Further system-wide adjustments/optimisations. - ca-certificates update to version 20200601 - easycwmp update to version 1.8.6 - gnutls update to version 3.6.15 (security fix) - mac80211 Update to version 4.19.137 - mwan3 Update to version 2.8.13 - ntpd Update to version 4.2.8p15 (security fix) - openssl Update to version 1.1.1h - wireguard update to version 1.0.20200611 Security advisory: * SECURITY!!! - Kernel bump to 4.14.209 to fix CVE-2020-25705. - Fix in `libuci` for CVE-2020-28951. - `curl` patch for CVE-2020-8169. - Patch for `tcpdump` to fix CVE-2020-8037. - Update OpenSSL to version 1.1.1i to fix CVE-2020-1971. ################################################################################