################################################################################ # ____ _ _ _ _ # # | _ \ ___| | ___ __ _ ___ ___ | \ | | ___ | |_ ___ ___ # # | |_) / _ \ |/ _ \/ _` / __|/ _ \ | \| |/ _ \| __/ _ \/ __| # # | _ < __/ | __/ (_| \__ \ __/ | |\ | (_) | || __/\__ \ # # |_| \_\___|_|\___|\__,_|___/\___| |_| \_|\___/ \__\___||___/ # # # # # # Version(s) : TDT APOS 4.1.5 (Hotfix Release) # # TDT APOS 4.1.4 (Hotfix Release) # # TDT APOS 4.1.3 (Hotfix Release) # # TDT APOS 4.1.2 (Hotfix Release internal below) # # TDT APOS 4.1.1 (OEM Hotfix Release below) # # TDT APOS 4.1.0 (OEM Minor Release below) # # # # Languages : Deutsch & English (below) # # # ################################################################################ ## ACHTUNG / ATTENTION * SICHERHEIT!!! / SECURITY!!! - OpenVPN Update auf Version 2.6.16 um die potentiell angreifbare Schwachstelle CVE-2025-13086 zu schließen. - OpenVPN update to version 2.6.16 to close the potentially exploitable vulnerability CVE-2025-13086. - Update der OpenSSL Version auf 3.0.15 um mehrere CVEs zu beheben. - Weitere Sicherheitsoptimierungen und Korrekturen bezüglich bekannter CVEs. - Update of the OpenSSL version to 3.0.15 to fix several CVEs. - Further security optimisations and fixes regarding known CVEs. * SSH (dropbear) - Zur weiteren Systemhärtung wurde der SSH-Dienst ab APOS 4.0 in der Standardkonfiguration gestoppt. - Starting with APOS 4.0 The SSH service was stopped in the default configuration for further system hardening. * Network Interfaces mit geändertem Verhalten / with changed behavior - Ab Version APOS 4.0 sind alle in der Standardkonfiguration enthaltenen WAN-Verbindungen (wan, xdsl, wwan) beim Booten nicht mehr aktiviert. - As of version APOS 4.0, all WAN connections (wan, xdsl, wwan) included in the default configuration are no longer activated at system startup. * Firewall (fw3/iptables) abgekündigt / deprecated: - Die bisherige Firewall wurde ab APOS 4.0 durch (fw4/nftables) ersetzt. Bestehende Konfiguration bleiben weiterhin kompatibel. - Skripte wie `/etc/firewall.user` die `iptables` verwenden funktionieren nicht weiter! Hier muss bei Bedarf mit Alternativen gearbeitet werden. - Starting with APOS 4.0 the former firewall is replaced by (fw4/nftables). Existing configurations remain compatible. - Scripts like `/etc/firewall.user` which use `iptables` will not continue to work! Alternatives must be used if necessary. * Mobilfunkmanagement (umm) abgekündigt / deprecated: - Beginnend mit Version APOS 4.0 wurde der Modem Manager zur Steuerung der Mobilfunkverbindungen eingesetzt. - As of the version APOS 4.0, the Modem Manager is used to control mobile radio connections. * Bonding abgekündigt / deprecated: - Die Funktion ist ab APOS 4.0 entfernt worden. - Starting with APOS 4.0 the funktion is removed. * OpenVPN & OpenSSL: - OpenSSL verweigert die Verwendung von CA-Zertifikate die mit Parametern wie MD5 oder SHA1 Signing erstellt wurden, die zwischenzeitlich als unsicher gelten. - OpenSSL refuses to use CA certificates created with parameters such as MD5 or SHA1 signing, which are considered insecure nowadays. * OpenVPN Parameter abgekündigt / deprecated: - Der Parameter `ncp-ciphers` wurde auf `data-ciphers` umbenannt. - Die Funktion `ncp-disable` wurde mit diesem Release entfernt. - Ab dieser Firmware-Version steht `keysize` nicht mehr zur Verfügung. - Die `simple configuration`, die `secret` zur Static Key Verschlüsselung (ohne TLS) nutzt ist zur Löschung vorgesehen. - Der Parameter `comp-lzo` ist abgekündigt und wird in einer der nächsten Versionen entfernt. Auch `compress` ist als deprecated markiert. - The function `ncp-disable` has been removed with this release. - As of this Frmware version, `keysize` is no longer available. - The `simple configuration` using `secret` with Static Key encryption mode (non-TLS) is planed for removal. - The parameter `comp-lzo` is deprecated and will be removed in one of the next versions. Also `compress` is marked as deprecated. * Backup / Firmware Update: - Beginnend mit APOS 4.0 wurden die Backup- und Updatefunktion in `Sichern / Zurücksetzen` und `Signiertes Update` aufgeteilt. - Mit dem `Signiertes Update` können ab sofort nur noch entsprechend signierte/verifizierte Firmware Images verwendet werden. - Starting with APOS 4.0, the backup and update function has been split into `Backup / Factory reset` and `Signed Update`. - With the `Signed update`, only appropriately signed/verified firmware images can be used from now on. ## Konfigurationsempfehlung / Configuration recommendation * OpenVPN: - Es wird empfohlen Zertifikate nicht mit MD oder SHA1 zu erstellen. Müssen jedoch aus Migrationsgründen MD- oder SHA1-Zertifikate eingesetzt werden, so können sie mit dem Parameter `tls-cert-profile insecur` weiter verwendet werden. - Zur Vermeidung von VORACLE Attacken empfehlen wir die Parameter - `comp-lzo` und `compress` aus bestehenden Konfigurationen zu entfernen. - Sollten die Parameter weiterverwendet werden, wird empfohlen - `comp-lzo` auf `no` und `compress` auf `stub-v2` zu ändern. - Die Parameter könnten an Clients gepushed werden, indem `push` am Server je mit `comp-lzo no` und `compress stub-v2` eingefügt wird. - Abgekündigte Parameter die aus der Konfiguration entfernt werden sollten: - `ncp-disable` ist ab diesem Release nicht mehr unterstützt. - `keysize` steht ab dieser Firmware-Version nicht mehr zur Verfügung. - Da mit diesem Release `ncp-ciphers` nicht mehr unterstützt wird ist es zwingend erforderlich vor einem Update auf `data-ciphers` zu wechseln. - Als Ablösung der `simple configuration` mit Static Key Verschlüsselung (ohne TLS) wäre ein Wechsel zu WireGuard als Option möglich. * OpenVPN: - It is recommended not to create certificates with MD or SHA1. However, if MD or SHA1 certificates have to be used for migration reasons, they can continue to be used with the `tls-cert-profile insecur` option. - To avoid VORACLE attacks we recommend to remove the parameters - `comp-lzo` and `compress` from configurations. - If the parameters are still to be used, we recommend - changing `comp-lzo` to `no` and `compress` to `stub-v2`. - The parameters could be pushed to clients by inserting `push` on the server with `comp-lzo no` and `compress stub-v2`. - Deprecated parameters that should be removed from the configuration: - `ncp-disable` will no longer be supported in the next major release. - `keysize` is no longer available from this firmware version onwards. - As with the next major release `ncp-ciphers` is no longer supported it is necessary to switch to `data-ciphers`. - As a replacement for the `simple configuration` with static key encryption (non-TLS), it would be possible to switch to WireGuard as an option. ################################################################################ # # # Version : TDT APOS 4.1.5 # # # # Type : Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - OpenVPN Update auf Version 2.6.16. - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: * OpenVPN: - OpenVPN Update auf Version 2.6.16 um die potentiell angreifbare Schwachstelle CVE-2025-13086 zu schließen. ################################################################################ # # # Version : TDT APOS 4.1.4 # # # # Type : Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: -- ################################################################################ # # # Version : TDT APOS 4.1.3 # # # # Type : Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Fehlerbehebungen: -- Optimierungen: * NG2000 DSL-Modem: - Konfigurationsoptionen zur Umstellung von Annex B (default) auf Annex A und vice versa. * Mobilfunk > SIM-Profile: - Initial EPS Bearer Konfiguration für spezielle SIM-Karten eingeführt. * Interne Änderungen: - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: -- ################################################################################ # # # Version : TDT APOS 4.1.2 # # # # Type : Hotfix Release (intern) # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: -- ################################################################################ # # # Version : TDT APOS 4.1.1 # # # # Type : OEM Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: -- ################################################################################ # # # Version : TDT APOS 4.1.0 # # # # Type : OEM Minor Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: * Linux Kernel von Version 5.15.147 auf 5.15.173 aktualisiert. * Default Konfiguration: - Es wurden basierend auf dem Handling für neue Produkte die Schnittstellen `wan6` und `xdsl6` in Netzwerk und Firewall global eingeführt. - Zum Abbilden der TR-03148 wurden ein Idle Timeout von einer Stunde für SSH-Sessions eingeführt. - Um Sicherheitsempfehlungen zu entsprechen wurde ein SSH Pre Login Banner eingeführt. Neue Funktionen: * Firewall (fw4/nftables) eingeführt: - Die bisherige Firewall wurde ab APOS 4.0 durch (fw4/nftables) ersetzt. Bestehende Konfiguration bleiben weiterhin kompatibel. - Skripte wie `/etc/firewall.user` die `iptables` verwenden funktionieren nicht weiter! Hier muss bei Bedarf mit Alternativen gearbeitet werden. * Protokoll VXLAN: - Das Protokoll VXLAN (Virtual eXtensible LAN) wurde im System aufgenommen. Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Update der OpenSSL Version auf 3.0.15 um mehrere CVEs zu beheben. - OpenVPN Update auf Version 2.6.10. - Routing Protocol Suite `frr` Update auf Version 10.2.1-2. - `curl` Update auf 8.7.1. - `keepalived` Update auf Version 2.2.8. - Initial Release für neue Hardware. - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: * SICHERHEIT!!! - Update der OpenSSL Version auf 3.0.15 um mehrere CVEs zu beheben. - Weitere Sicherheitsoptimierungen und Korrekturen bezüglich bekannter CVEs. * SSH (dropbear) - Zur weiteren Systemhärtung wurde der SSH-Dienst ab APOS 4.0 in der Standardkonfiguration gestoppt. ################################################################################ ################################################################################ # # # Version : TDT APOS 4.1.5 # # # # Type : Hotfix Release # # # # Language : English # # # ################################################################################ General: -- Fixes: -- Optimizations: * Internal changes: - OpenVPN update to version 2.6.10. - Further system-wide adjustments/optimisations. Security advisory: * OpenVPN: - OpenVPN update to version 2.6.16 to close the potentially exploitable vulnerability CVE-2025-13086. ################################################################################ # # # Version : TDT APOS 4.1.4 # # # # Type : Hotfix Release # # # # Language : English # # # ################################################################################ General: -- Fixes: -- Optimizations: * Internal changes: - Further system-wide adjustments/optimisations. Security advisory: -- ################################################################################ # # # Version : TDT APOS 4.1.3 # # # # Type : Hotfix Release # # # # Language : English # # # ################################################################################ General: -- Fixes: -- Optimizations: * NG2000 DSL modem: - Configuration options for switching from Annex B (default) to Annex A and vice versa. * Mobile communications > SIM profiles: - Initial EPS bearer configuration for special SIM cards introduced. * Internal changes: - Further system-wide adjustments/optimisations. Security advisory: -- ################################################################################ # # # Version : TDT APOS 4.1.2 # # # # Type : Hotfix Release (internal) # # # # Language : English # # # ################################################################################ General: -- Fixes: -- Optimizations: * Internal changes: - Further system-wide adjustments/optimisations. Security advisory: -- ################################################################################ # # # Version : TDT APOS 4.1.1 # # # # Type : OEM Hotfix Release # # # # Language : English # # # ################################################################################ General: -- Fixes: -- Optimizations: * Internal changes: - Further system-wide adjustments/optimisations. Security advisory: -- ################################################################################ # # # Version : TDT APOS 4.1.0 # # # # Type : OEM Minor Release # # # # Language : English # # # ################################################################################ General: * Linux kernel updated from version 5.15.147 to 5.15.173. * Default configuration: - Based on the handling for new products, the interfaces `wan6` and `xdsl6` were introduced globally in the network and firewall. - An idle timeout of one hour for SSH sessions has been introduced to reflect TR-03148. - To comply with security recommendations, an SSH pre login banner has been introduced. New functions: * Firewall (fw4/nftables) introduced: - Starting with APOS 4.0 the former firewall is replaced by (fw4/nftables). Existing configurations remain compatible. - Scripts like `/etc/firewall.user` which use `iptables will not continue to work! Alternatives must be used if necessary. * VXLAN protocol: - The VXLAN (Virtual eXtensible LAN) protocol has been added to the system. Fixes: -- Optimizations: * Internal changes: - Update of the OpenSSL version to 3.0.15 to fix several CVEs. - OpenVPN update to version 2.6.10. - Routing Protocol Suite `frr` update to version 10.2.1-2. - `curl` update to 8.7.1. - `keepalived` update to version 2.2.8. - Initial release for new Hardware - Further system-wide adjustments/optimisations. Security advisory: * SECURITY!!! - Update of the OpenSSL version to 3.0.15 to fix several CVEs. - Further security optimisations and fixes regarding known CVEs. * SSH (dropbear) - The SSH service was stopped in the default configuration for further system hardening. ################################################################################