################################################################################ # ____ _ _ _ _ # # | _ \ ___| | ___ __ _ ___ ___ | \ | | ___ | |_ ___ ___ # # | |_) / _ \ |/ _ \/ _` / __|/ _ \ | \| |/ _ \| __/ _ \/ __| # # | _ < __/ | __/ (_| \__ \ __/ | |\ | (_) | || __/\__ \ # # |_| \_\___|_|\___|\__,_|___/\___| |_| \_|\___/ \__\___||___/ # # # # # # Version(s) : TDT APOS 4.2.1 (Hotfix Release) # # TDT APOS 4.2.0 (OEM Minor Release below) # # # # Languages : Deutsch & English (below) # # # ################################################################################ ## ACHTUNG / ATTENTION * SICHERHEIT!!! / SECURITY!!! - OpenVPN Update auf Version 2.6.16 um die potentiell angreifbare Schwachstelle CVE-2025-13086 zu schließen. - OpenVPN update to version 2.6.16 to close the potentially exploitable vulnerability CVE-2025-13086. - Update der OpenSSL Version auf 3.0.18 um mehrere CVEs zu beheben. - Update of the OpenSSL version to 3.0.18 to fix several CVEs. - Weitere Sicherheitsoptimierungen und Korrekturen bezüglich bekannter CVEs. - Further security optimisations and fixes regarding known CVEs. * SSH (dropbear) - Zur weiteren Systemhärtung wurde der SSH-Dienst ab APOS 4.0 in der Standardkonfiguration gestoppt. - Starting with APOS 4.0 The SSH service was stopped in the default configuration for further system hardening. * Network Interfaces mit geändertem Verhalten / with changed behavior - Ab Version APOS 4.0 sind alle in der Standardkonfiguration enthaltenen WAN-Verbindungen (wan, xdsl, wwan) beim Booten nicht mehr aktiviert. - As of version APOS 4.0, all WAN connections (wan, xdsl, wwan) included in the default configuration are no longer activated at system startup. * Firewall (fw3/iptables) abgekündigt / deprecated: - Die bisherige Firewall wurde ab APOS 4.0 durch (fw4/nftables) ersetzt. Bestehende Konfiguration bleiben weiterhin kompatibel. - Skripte wie `/etc/firewall.user` die `iptables` verwenden funktionieren nicht weiter! Hier muss bei Bedarf mit Alternativen gearbeitet werden. - Starting with APOS 4.0 the former firewall is replaced by (fw4/nftables). Existing configurations remain compatible. - Scripts like `/etc/firewall.user` which use `iptables` will not continue to work! Alternatives must be used if necessary. * Mobilfunkmanagement `umm` ersetzt mit / replaced with `Modem Manager` - Beginnend mit Version APOS 4.0 `wird` der Modem Manager zur Steuerung der Mobilfunkverbindungen eingesetzt. - As of the version APOS 4.0, the Modem Manager is used to control mobile radio connections. * Bonding abgekündigt / deprecated: - Die Funktion ist ab APOS 4.0 entfernt worden. - Starting with APOS 4.0 the funktion is removed. * OpenVPN & OpenSSL: - OpenSSL verweigert die Verwendung von CA-Zertifikate die mit Parametern wie MD5 oder SHA1 Signing erstellt wurden, die zwischenzeitlich als unsicher gelten. - OpenSSL refuses to use CA certificates created with parameters such as MD5 or SHA1 signing, which are considered insecure nowadays. * OpenVPN Parameter abgekündigt / deprecated: - Der Parameter `ncp-ciphers` wurde auf `data-ciphers` umbenannt. - Die Funktion `ncp-disable` wurde mit diesem Release entfernt. - Ab dieser Firmware-Version steht `keysize` nicht mehr zur Verfügung. - Die `simple configuration`, die `secret` zur Static Key Verschlüsselung (ohne TLS) nutzt ist zur Löschung vorgesehen. - Der Parameter `comp-lzo` ist abgekündigt und wird in einer der nächsten Versionen entfernt. Auch `compress` ist als deprecated markiert. - The function `ncp-disable` has been removed with this release. - As of this Frmware version, `keysize` is no longer available. - The `simple configuration` using `secret` with Static Key encryption mode (non-TLS) is planed for removal. - The parameter `comp-lzo` is deprecated and will be removed in one of the next versions. Also `compress` is marked as deprecated. * Backup / Firmware Update: - Beginnend mit APOS 4.0 wurden die Backup- und Updatefunktion in `Sichern / Zurücksetzen` und `Signiertes Update` aufgeteilt. - Mit dem `Signiertes Update` können ab sofort nur noch entsprechend signierte/verifizierte Firmware Images verwendet werden. - Starting with APOS 4.0, the backup and update function has been split into `Backup / Factory reset` and `Signed Update`. - With the `Signed update`, only appropriately signed/verified firmware images can be used from now on. ## Konfigurationsempfehlung / Configuration recommendation * OpenVPN: - Es wird empfohlen Zertifikate nicht mit MD oder SHA1 zu erstellen. Müssen jedoch aus Migrationsgründen MD- oder SHA1-Zertifikate eingesetzt werden, so können sie mit dem Parameter `tls-cert-profile insecur` weiter verwendet werden. - Zur Vermeidung von VORACLE Attacken empfehlen wir die Parameter - `comp-lzo` und `compress` aus bestehenden Konfigurationen zu entfernen. - Sollten die Parameter weiterverwendet werden, wird empfohlen - `comp-lzo` auf `no` und `compress` auf `stub-v2` zu ändern. - Die Parameter könnten an Clients gepushed werden, indem `push` am Server je mit `comp-lzo no` und `compress stub-v2` eingefügt wird. - Abgekündigte Parameter die aus der Konfiguration entfernt werden sollten: - `ncp-disable` ist ab diesem Release nicht mehr unterstützt. - `keysize` steht ab dieser Firmware-Version nicht mehr zur Verfügung. - Da mit diesem Release `ncp-ciphers` nicht mehr unterstützt wird ist es zwingend erforderlich vor einem Update auf `data-ciphers` zu wechseln. - Als Ablösung der `simple configuration` mit Static Key Verschlüsselung (ohne TLS) wäre ein Wechsel zu WireGuard als Option möglich. * OpenVPN: - It is recommended not to create certificates with MD or SHA1. However, if MD or SHA1 certificates have to be used for migration reasons, they can continue to be used with the `tls-cert-profile insecur` option. - To avoid VORACLE attacks we recommend to remove the parameters - `comp-lzo` and `compress` from configurations. - If the parameters are still to be used, we recommend - changing `comp-lzo` to `no` and `compress` to `stub-v2`. - The parameters could be pushed to clients by inserting `push` on the server with `comp-lzo no` and `compress stub-v2`. - Deprecated parameters that should be removed from the configuration: - `ncp-disable` will no longer be supported in the next major release. - `keysize` is no longer available from this firmware version onwards. - As with the next major release `ncp-ciphers` is no longer supported it is necessary to switch to `data-ciphers`. - As a replacement for the `simple configuration` with static key encryption (non-TLS), it would be possible to switch to WireGuard as an option. ################################################################################ # # # Version : TDT APOS 4.2.1 # # # # Type : Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Fehlerbehebungen: * SNMP - Standartwert der `sysDescr` wiederhergestellt. Optimierungen: * Mobilfunk (wwan) - Upgradepfad bei eingeschränkter Mobilfunktechnologien z.B. auf `UMST/LTE` optimiert, damit der Verbindungsaufbau nicht verhindert wird. * Interne Änderungen: - Update der OpenSSL Version auf 3.0.18 um mehrere CVEs zu beheben. - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: * OpenSSL: - Update der OpenSSL Version auf 3.0.18 um mehrere CVEs zu beheben. ################################################################################ # # # Version : TDT APOS 4.2.0 # # # # Type : OEM Minor Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: * Linux Kernel auf Version 5.15.189 aktualisiert. Neue Funktionen: * SMS Action: - Initialer Release der neuen Funktion. * MAC Adressauflösung: - Auf den Status-/Konfigurationsseiten werden nun die MAC Vendors aufgelöst. Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Update der OpenSSL Version auf 3.0.16 um mehrere CVEs zu beheben. - OpenVPN Update auf Version 2.6.16 um CVE-2025-13086 zu schließen. - `ca-certificates` update to 20241223 - `libxml2` update to 2.14.5 - `mac80211` update to version 6.1.145-1 - `modemmanager` update to version 1.24.0 - `wireless-regdb` update to version 2025.07.10 - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: * SICHERHEIT!!! - OpenVPN Update auf Version 2.6.16 um die potentiell angreifbare Schwachstelle CVE-2025-13086 zu schließen. - Update der OpenSSL Version auf 3.0.16 um mehrere CVEs zu beheben. * SSH (dropbear) - Zur weiteren Systemhärtung wurde der SSH-Dienst ab APOS 4.0 in der Standardkonfiguration gestoppt. ################################################################################ ################################################################################ # # # Version : TDT APOS 4.2.1 # # # # Type : Hotfix Release # # # # Language : English # # # ################################################################################ General: -- Fixes: * SNMP - Restored default value for `sysDescr`. Optimizations: * Mobile radio connection (wwan) - Upgrade path for restricted radio technologies, e.g. `UMTS/LTE`, optimized so that connection establishment is not prevented. * Internal changes: - Update of the OpenSSL version to 3.0.18 to fix several CVEs. - Further system-wide adjustments/optimisations. Security advisory: * OpenSSL: - Update of the OpenSSL version to 3.0.18 to fix several CVEs. ################################################################################ # # # Version : TDT APOS 4.2.0 # # # # Type : OEM Minor Release # # # # Language : English # # # ################################################################################ General: * Linux kernel updated to 5.15.189. New functions: * SMS Action: - Initial release of the new feature. * MAC address resolution: - MAC vendors are now resolved on the status/configuration pages. Fixes: -- Optimizations: * Internal changes: - Update of the OpenSSL version to 3.0.16 to fix several CVEs. - OpenVPN update to version 2.6.16 to fix CVE-2025-13086. - `ca-certificates` update to 20241223 - `libxml2` update to 2.14.5 - `mac80211` update to version 6.1.145-1 - `modemmanager` update to version 1.24.0 - `wireless-regdb` update to version 2025.07.10 - Further system-wide adjustments/optimisations. Security advisory: * SECURITY!!! - OpenVPN update to version 2.6.16 to close the potentially exploitable vulnerability CVE-2025-13086. - Update of the OpenSSL version to 3.0.16 to fix several CVEs. ################################################################################