################################################################################ # ____ _ _ _ _ # # | _ \ ___| | ___ __ _ ___ ___ | \ | | ___ | |_ ___ ___ # # | |_) / _ \ |/ _ \/ _` / __|/ _ \ | \| |/ _ \| __/ _ \/ __| # # | _ < __/ | __/ (_| \__ \ __/ | |\ | (_) | || __/\__ \ # # |_| \_\___|_|\___|\__,_|___/\___| |_| \_|\___/ \__\___||___/ # # # # # # Version(s) : TDT APOS 2.2.3 (Hotfix Release) # # # # Languages : Deutsch & English (below) # # # ################################################################################ ## ACHTUNG / ATTENTION * SICHERHEIT!!! / SECURITY!!! - WLAN / Wi-Fi security fixes for FragAttacks: CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26141, CVE-2020-26142, CVE-2020-26143, CVE-2020-26144, CVE-2020-26145, CVE-2020-26146, CVE-2020-26147 - Patch of `sudo` for CVE-2021-3156. - Update of the OpenSSL Version to fix CVE-2021-3450, CVE-2021-3449, CVE-2021-23841 and CVE-2021-23840. - OpenVPN: Tunnel mit aktivier Kompression (comp-lzo; compress) sind mittels VORACLE Attacke (MITM) potentiell angreifbar. - OpenVPN: Tunnels with activated compression (comp-lzo; compress) are potentially vulnerable to VORACLE attack (MITM). * OpenVPN Parameter abgekündigt / deprecated: - Der Parameter `comp-lzo` ist abgekündigt und wird in einer der nächsten Versionen entfernt. Auch `compress` ist als deprecated markiert. - The parameter `comp-lzo` is deprecated and will be removed in one of the next versions. Also `compress` is marked as deprecated. ## Konfigurationsempfehlung / Configuration recommendation * OpenVPN VORACLE - Zur Vermeidung von VORACLE Attacken empfehlen wir die Parameter - `comp-lzo` auf `no` und - `compress` auf `stub-v2` zu ändern. - Zusätzlich können die Parameter vom Server an Clients gepushed werden: - Dazu `push` mit `comp-lzo no` und - `push` mit `compress stub-v2` an OpenVPN Servern einfügen. * OpenVPN VORACLE - To avoid VORACLE attacks we recommend to change the parameters: - `comp-lzo` to `no` and - `compress` to `stub-v2`. - Additionally the parameters can be pushed from server to clients: - To do this, add `push` with `comp-lzo no` and - `push` with `compress stub-v2` to OpenVPN Servers. ################################################################################ # # # Version : TDT APOS 2.2.3 # # # # Type : Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Neue Funktionen: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: * SICHERHEIT!!! - WLAN Security Fixes für FragAttacks: * CVE-2020-24586: Fragmentation cache not cleared on reconnection * CVE-2020-24587: Reassembling fragments encrypted under different keys * CVE-2020-24588: Accepting non-SPP A-MSDU frames, which leads to payload being parsed as an L2 frame under an A-MSDU bit toggling attack * CVE-2020-26139: Forwarding EAPOL from unauthenticated sender * CVE-2020-26140: Accepting plaintext data frames in protected networks * CVE-2020-26141: Not verifying TKIP MIC of fragmented frames * CVE-2020-26142: Processing fragmented frames as full frames * CVE-2020-26143: Accepting fragmented plaintext frames in protected networks * CVE-2020-26144: Always accepting unencrypted A-MSDU frames that start with RFC1042 header with EAPOL ethertype * CVE-2020-26145: Accepting plaintext broadcast fragments as full frames * CVE-2020-26146: Reassembling encrypted fragments with non-consecutive packet numbers * CVE-2020-26147: Reassembling mixed encrypted/plaintext fragments ################################################################################ # # # Version : TDT APOS 2.2.2 # # # # Type : OEM Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Neue Funktionen: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: * SICHERHEIT!!! - Update der OpenSSL Version auf 1.1.1k um CVE-2021-3450 und CVE-2021-3449 zu beheben. ################################################################################ # # # Version : TDT APOS 2.2.1 # # # # Type : OEM Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Neue Funktionen: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: -- ################################################################################ # # # Version : TDT APOS 2.2.0 # # # # Type : Minor Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: * Linux Kernel von Version 4.14.209 auf 4.14.221 aktualisiert. Neue Funktionen: * VPN Aktionen: - Funktion eingeführt um die Aktion im Abhängigkeit des Status anderer Schnittstellen zu überspringen. Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - igmpproxy in System aufgenommen. - Weitere systemweite Anpassungen/Optimierungen. - Update der OpenSSL Version auf 1.1.1j um CVE-2021-23841 und CVE-2021-23840 zu beheben. - mbedtls Update auf 2.16.9. - wireless-regdb Update auf Version 2020.11.20 Sicherheitsempfehlung: * SICHERHEIT!!! - Patch von `sudo` für CVE-2021-3156. ################################################################################ ################################################################################ # # # Version : TDT APOS 2.2.3 # # # # Type : Hotfix Release # # # # Language : English # # # ################################################################################ General: -- New functions: -- Fixes: -- Optimizations: * Internal changes: - Further system-wide adjustments/optimisations. Security advisory: * SECURITY!!! - WiFi security fixes for FragAttacks: * CVE-2020-24586: Fragmentation cache not cleared on reconnection * CVE-2020-24587: Reassembling fragments encrypted under different keys * CVE-2020-24588: Accepting non-SPP A-MSDU frames, which leads to payload being parsed as an L2 frame under an A-MSDU bit toggling attack * CVE-2020-26139: Forwarding EAPOL from unauthenticated sender * CVE-2020-26140: Accepting plaintext data frames in protected networks * CVE-2020-26141: Not verifying TKIP MIC of fragmented frames * CVE-2020-26142: Processing fragmented frames as full frames * CVE-2020-26143: Accepting fragmented plaintext frames in protected networks * CVE-2020-26144: Always accepting unencrypted A-MSDU frames that start with RFC1042 header with EAPOL ethertype * CVE-2020-26145: Accepting plaintext broadcast fragments as full frames * CVE-2020-26146: Reassembling encrypted fragments with non-consecutive packet numbers * CVE-2020-26147: Reassembling mixed encrypted/plaintext fragments ################################################################################ # # # Version : TDT APOS 2.2.2 # # # # Type : OEM Release # # # # Language : English # # # ################################################################################ General: -- New functions: -- Fixes: -- Optimizations: * Internal changes: - Further system-wide adjustments/optimisations. Security advisory: * SECURITY!!! - Update OpenSSL to version 1.1.1k to fix CVE-2021-3450 and CVE-2021-3449. ################################################################################ # # # Version : TDT APOS 2.2.1 # # # # Type : OEM Release # # # # Language : English # # # ################################################################################ General: -- New functions: -- Fixes: -- Optimizations: * Internal changes: - Further system-wide adjustments/optimisations. Security advisory: -- ################################################################################ # # # Version : TDT APOS 2.2.0 # # # # Type : Minor Release # # # # Language : English # # # ################################################################################ General: * Linux kernel updated from version 4.14.209 to 4.14.221. New functions: * VPN Actions: - Function introduced to skip the VPN action depending on the status of other interfaces. Fixes: -- Optimizations: * Internal changes: - igmpproxy implemented in system. - Further system-wide adjustments/optimisations. - Update OpenSSL to version 1.1.1j to fix CVE-2021-23841 and CVE-2021-23840. - mbedtls update to 2.16.9. - wireless-regdb update to version 2020.11.20 Security advisory: * SECURITY!!! - Patch of `sudo` for CVE-2021-3156. ################################################################################