################################################################################ # ____ _ _ _ _ # # | _ \ ___| | ___ __ _ ___ ___ | \ | | ___ | |_ ___ ___ # # | |_) / _ \ |/ _ \/ _` / __|/ _ \ | \| |/ _ \| __/ _ \/ __| # # | _ < __/ | __/ (_| \__ \ __/ | |\ | (_) | || __/\__ \ # # |_| \_\___|_|\___|\__,_|___/\___| |_| \_|\___/ \__\___||___/ # # # # # # Version(s) : TDT APOS 4.0.2 (Hotfix Release) # # # # Languages : Deutsch & English (below) # # # ################################################################################ ## ACHTUNG / ATTENTION * SICHERHEIT!!! / SECURITY!!! - CVE-2023-48795 Dropbear Terrapin Attack wurde behoben. - Update der OpenSSL Version auf 3.0.13 um mehrere CVEs zu beheben. - Weitere Sicherheitsoptimierungen und Korrekturen bezüglich bekannter CVEs. - CVE-2023-48795 Dropbear Terrapin Attack has been fixed. - Update of the OpenSSL version to 3.0.13 to fix several CVEs. - Further security optimisations and fixes regarding known CVEs. * SSH (dropbear) - Zur weiteren Systemhärtung wurde der SSH-Dienst in der Standardkonfiguration gestoppt. - The SSH service was stopped in the default configuration for further system hardening. * Network Interfaces mit geändertem Verhalten / with changed behavior - Ab dieser Version sind alle in der Standardkonfiguration enthaltenen WAN-Verbindungen (wan, xdsl, wwan) beim Booten nicht mehr aktiviert. - As of this version, all WAN connections (wan, xdsl, wwan) included in the default configuration are no longer activated at system startup. * Firewall (fw3/iptables) abgekündigt / deprecated: - Die bisherige Firewall ist ab APOS 4.0 durch (fw4/nftables) ersetzt. Bestehende Konfiguration bleiben weiterhin kompatibel. - Skripte wie `/etc/firewall.user` die `iptables` verwenden funktionieren nicht weiter! Hier muss bei Bedarf mit Alternativen gearbeitet werden. - Starting with APOS 4.0 the former firewall is replaced by (fw4/nftables). Existing configurations remain compatible. - Scripts like `/etc/firewall.user` which use `iptables` will not continue to work! Alternatives must be used if necessary. * Mobilfunkmanagement (umm) abgekündigt / deprecated: - Ab der aktuellen Version APOS 4.0 kommt der Modem Manager zur Steuerung der Mobilfunkverbindungen zum Einsatz. - As of the current version APOS 4.0, the Modem Manager is used to control mobile radio connections. * Bonding abgekündigt / deprecated: - Die Funktion ist mit APOS 4.0 entfernt worden. - Starting with APOS 4.0 the funktion is removed. * OpenVPN & OpenSSL: - OpenSSL verweigert die Verwendung von CA-Zertifikate die mit Parametern wie MD5 oder SHA1 Signing erstellt wurden, die zwischenzeitlich als unsicher gelten. - OpenSSL refuses to use CA certificates created with parameters such as MD5 or SHA1 signing, which are considered insecure nowadays. * OpenVPN Parameter abgekündigt / deprecated: - Der Parameter `ncp-ciphers` wurde auf `data-ciphers` umbenannt. - Die Funktion `ncp-disable` wurde mit diesem Release entfernt. - Ab dieser Firmware-Version steht `keysize` nicht mehr zur Verfügung. - Die `simple configuration`, die `secret` zur Static Key Verschlüsselung (ohne TLS) nutzt ist zur Löschung vorgesehen. - Der Parameter `comp-lzo` ist abgekündigt und wird in einer der nächsten Versionen entfernt. Auch `compress` ist als deprecated markiert. - The function `ncp-disable` has been removed with this release. - As of this Frmware version, `keysize` is no longer available. - The `simple configuration` using `secret` with Static Key encryption mode (non-TLS) is planed for removal. - The parameter `comp-lzo` is deprecated and will be removed in one of the next versions. Also `compress` is marked as deprecated. * Backup / Firmware Update: - Beginnend mit APOS 4.0 wurden die Backup- und Updatefunktion in `Sichern / Zurücksetzen` und `Signiertes Update` aufgeteilt. - Mit dem `Signiertes Update` können ab sofort nur noch entsprechend signierte/verifizierte Firmware Images verwendet werden. - Starting with APOS 4.0, the backup and update function has been split into `Backup / Factory reset` and `Signed Update`. - With the `Signed update`, only appropriately signed/verified firmware images can be used from now on. ## Konfigurationsempfehlung / Configuration recommendation * OpenVPN: - Es wird empfohlen Zertifikate nicht mit MD oder SHA1 zu erstellen. Müssen jedoch aus Migrationsgründen MD- oder SHA1-Zertifikate eingesetzt werden, so können sie mit dem Parameter `tls-cert-profile insecur` weiter verwendet werden. - Zur Vermeidung von VORACLE Attacken empfehlen wir die Parameter - `comp-lzo` und `compress` aus bestehenden Konfigurationen zu entfernen. - Sollten die Parameter weiterverwendet werden, wird empfohlen - `comp-lzo` auf `no` und `compress` auf `stub-v2` zu ändern. - Die Parameter könnten an Clients gepushed werden, indem `push` am Server je mit `comp-lzo no` und `compress stub-v2` eingefügt wird. - Abgekündigte Parameter die aus der Konfiguration entfernt werden sollten: - `ncp-disable` ist ab diesem Release nicht mehr unterstützt. - `keysize` steht ab dieser Firmware-Version nicht mehr zur Verfügung. - Da mit diesem Release `ncp-ciphers` nicht mehr unterstützt wird ist es zwingend erforderlich vor einem Update auf `data-ciphers` zu wechseln. - Als Ablösung der `simple configuration` mit Static Key Verschlüsselung (ohne TLS) wäre ein Wechsel zu WireGuard als Option möglich. * OpenVPN: - It is recommended not to create certificates with MD or SHA1. However, if MD or SHA1 certificates have to be used for migration reasons, they can continue to be used with the `tls-cert-profile insecur` option. - To avoid VORACLE attacks we recommend to remove the parameters - `comp-lzo` and `compress` from configurations. - If the parameters are still to be used, we recommend - changing `comp-lzo` to `no` and `compress` to `stub-v2`. - The parameters could be pushed to clients by inserting `push` on the server with `comp-lzo no` and `compress stub-v2`. - Deprecated parameters that should be removed from the configuration: - `ncp-disable` will no longer be supported in the next major release. - `keysize` is no longer available from this firmware version onwards. - As with the next major release `ncp-ciphers` is no longer supported it is necessary to switch to `data-ciphers`. - As a replacement for the `simple configuration` with static key encryption (non-TLS), it would be possible to switch to WireGuard as an option. ################################################################################ # # # Version : TDT APOS 4.0.2 # # # # Type : Public hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: -- ################################################################################ # # # Version : TDT APOS 4.0.1 # # # # Type : OEM Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Fehlerbehebungen: -- Optimierungen: * SNMP: - Download Funktion für die TDT-MIB eingefügt. - Webinterface überarbeitet. * DDNS Updatefunktion optimiert um mögliche Probleme auszuschließen. * Interne Änderungen: - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: * SICHERHEIT!!! - WLAN-Standardkonfiguration entfernt, um mit TR-03148 zu harmonisieren. - Input Aktion der Firewall Zone WAN wurde von `Reject` auf `Drop` geändert. ################################################################################ # # # Version : TDT APOS 4.0.0 # # # # Type : OEM Major Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: * Linux Kernel von Version 5.4.215 auf 5.15.147 aktualisiert. Neue Funktionen: * Kryptographie: - chacha20-poly1305 Unterstützung wurde hinzugefügt. * Firewall (fw4/nftables) eingeführt: - Die bisherige Firewall ist ab APOS 4.0 durch (fw4/nftables) ersetzt. Bestehende Konfiguration bleiben weiterhin kompatibel. - Skripte wie `/etc/firewall.user` die `iptables` verwenden funktionieren nicht weiter! Hier muss bei Bedarf mit Alternativen gearbeitet werden. * Modem Manager eingeführt: - Ab der aktuellen Version APOS 4.0 kommt der Modem Manager zur Steuerung der Mobilfunkverbindungen zum Einsatz. - Verschiedene Anpassungen und Umstellungen in Abhängigkeit mit dem neuen Modem Manager. Fehlerbehebungen: -- Optimierungen: * DSL Status wurde optimiert. * Interne Änderungen: - Update der OpenSSL Version auf 3.0.13 um mehrere CVEs zu beheben. - `dnsmasq` Update auf Version 2.90 um CVE-2023-50387 zu beheben. - OpenVPN Update auf Version 2.6.8. - IPsec `strongswan` Update auf Version 5.9.14. - Routing Protocol Suite `frr` Update auf Version 8.5.1. - `binutils` Update auf Version 2.40. - `busybox` Update auf 1.36.1. - `ca-bundle - 20230311. - `curl` Update auf 8.6.0. - `dropbear` Update auf Version 2022.82-6. - `gcc` Update auf Version 12.3.0. - `glibc` Update auf Version 2.37. - `keepalived` Update auf Version 2.2.7. - `musl` Update auf Version libc 1.2.4. - `uci` Update auf Version 2023-08-10-5781664d - Initial Release für neue Hardware. - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: * SICHERHEIT!!! - CVE-2023-48795 Dropbear Terrapin Attack wurde behoben. - Update der OpenSSL Version auf 3.0.13 um mehrere CVEs zu beheben. - `dnsmasq` update to version 2.90 to fix CVE-2023-50387. - Weitere Sicherheitsoptimierungen und Korrekturen bezüglich bekannter CVEs. * SSH (dropbear) - Zur weiteren Systemhärtung wurde der SSH-Dienst in der Standardkonfiguration gestoppt. ################################################################################ ################################################################################ # # # Version : TDT APOS 4.0.2 # # # # Type : Public Hotfix Release # # # # Language : English # # # ################################################################################ General: -- Fixes: -- Optimizations: * Internal changes: - Further system-wide adjustments/optimisations. Security advisory: -- ################################################################################ # # # Version : TDT APOS 4.0.1 # # # # Type : OEM Hotfix Release # # # # Language : English # # # ################################################################################ General: -- Fixes: -- Optimizations: * SNMP: - Download functionality for TDT-MIB added. - Web interface revised. * Internal changes: - Further system-wide adjustments/optimisations. Security advisory: * SECURITY!!! - WLAN default config removed to harmonise with TR-03148. - Input action of the firewall zone WAN was changed from `Reject` to `Drop`. ################################################################################ # # # Version : TDT APOS 4.0.0 # # # # Type : OEM Major Release # # # # Language : English # # # ################################################################################ General: * Linux kernel updated from version 5.4.215 to 5.15.147. New functions: * Cryptography: - chacha20-poly1305 support added. * Firewall (fw4/nftables) introduced: - Starting with APOS 4.0 the former firewall is replaced by (fw4/nftables). Existing configurations remain compatible. - Scripts like `/etc/firewall.user` which use `iptables will not continue to work! Alternatives must be used if necessary. * Modem Manager introduced: - As of the current version APOS 4.0, the Modem Manager is used to control mobile radio connections. - Several adjustments and adaptations depending on the new Modem Manager. Fixes: -- Optimizations: * DSL status has been optimised. * Internal changes: - Update of the OpenSSL version to 3.0.13 to fix several CVEs. - `dnsmasq` update to version 2.90 to fix CVE-2023-50387. - OpenVPN update to version 2.6.8. - IPsec `strongswan` update to version 5.9.14. - Routing Protocol Suite `frr` update to version 8.5.1. - `binutils` update to version 2.40. - `busybox` update to 1.36.1. - `ca-bundle` - 20230311. - `curl` update to 8.6.0. - `dropbear` update to version 2022.82-6. - `gcc` update to version 12.3.0. - `glibc` update to version 2.37. - `keepalived` update to version 2.2.7. - `musl` update to version libc 1.2.4. - `uci` update to version 2023-08-10-5781664d - Initial release for new Hardware - Further system-wide adjustments/optimisations. Security advisory: * SECURITY!!! - CVE-2023-48795 Dropbear Terrapin Attack has been fixed. - Update of the OpenSSL version to 3.0.13 to fix several CVEs. - `dnsmasq` update to version 2.90 to fix CVE-2023-50387. - Further security optimisations and fixes regarding known CVEs. * SSH (dropbear) - The SSH service was stopped in the default configuration for further system hardening. ################################################################################