Release Notes CPS 7.0.22

Collax Platform Server
28.03.2018

Hinweise zur Installation

Update installieren

Zur Installation dieses Updates führen Sie bitte die folgenden Schritte durch:

Vorgehen

  1. Nehmen Sie zuerst mit dem Collax Backup System eine Sicherung aller Systemdaten vor bevor Sie die nächsten Schritte des Software-Upgrades durchführen. Prüfen Sie, ob das Backup korrekt durchgeführt werden konnte. Die erforderlichen Informationen erhalten Sie bei korrekter Konfiguration per E-Mail.
  2. Gehen Sie auf System → Systembetrieb → Software → System-Update und klicken auf Paketliste holen. Der erfolgreiche Vorgang der Aktualisierung der Paketliste wird mit Done! markiert.
  3. Klicken Sie auf Pakete holen. Diese Funktion lädt dann die eben angezeigten Update-Pakete herunter.
  4. Klicken Sie nun auf Installieren. Diese Funktion installiert das neue Update. Das Ende des Vorgangs wird mit einem Done! angezeigt.
  5. Mit diesem Update wird ein neuer Kernel installiert. Nach der Installation des System-Updates erfolgt ein automatischer Neustart des Servers. Ein entsprechender Hinweis wird beim Abschluss des Update-Vorgangs ausgegeben.

Neu in dieser Version

Host FQDN für Netzwerkgruppen auflösen

Collax Server nutzen an vielen Stellen Host-Elemente. Als Host werden einzelne Rechner bezeichnet, die dem Collax Server bekannt sind. Ein Host als existierendes Element ist Voraussetzung für verschiedene Einstellungen, welche die Dienste betreffen. In der Hostverwaltung können Hosts angelegt werden, bei denen nur der vollständige Domainname (FQDN), nicht aber die IPv4-Adresse bekannt sind. Ohne bekannte IP-Adresse können diese innerhalb von Netzwerkgruppen nicht verwendet werden. Anwendung finden die Netzwerkgruppen in zwei Bereichen: Berechtigungen und Firewall-Matrix (Routing). Mit der Option „Host FQDN für Netzwerkgruppen verwenden“ können Hosts, von denen nur der FQDN bekannt ist in Netzwerkgruppen aufgelöst werden um Firewall Regeln auf diese anwenden zu können. Dieser Dialog befindet sich unter „Netzwerk -> Firewall -> Allgemein“.

System-Management: Linux Kernel 4.9.87

Collax Server 7 basiert auf dem Long Time Support (LTS) Kernel 4.9. Dieser wird bis Januar 2019 offiziell gepflegt, dadurch kann Collax die beste und längste Unterstützung bzgl. Security und Hardware-Treibern bieten.

Hardware: PV-Storage-Device für Xen-Unterstützung

Im PV-Modus stellt Xen seine virtuelle Festplatte mittels /dev/xvda dem installierten Betriebsystem der virtuellen Maschine zur Verfügung. Mit diesem Update unterstützen Collax Server auch die Installation auf /dev/xvda Devices.

Collax Information & Security Intelligence: Neues Zusatzmodul - Bedrohungen erkennen – präzise Auswertungen

Mit dieser Version steht Ihnen das neue Zusatzmodul “Collax Information and Security Intelligence” zur Verfügung. Infrastrukturdaten im Überblick zu behalten wird bei rasant wachsender Datenmenge immer wichtiger. Dies kann nur auf Basis von gut aufbereiteten Informationen geschehen, und diese sollten am besten noch in Echtzeit abrufbar sein. Collax stellt eigens für diese Herausforderung ein spezielles Softwaremodul bereit.

Es ist nach dem Client-Server-Prinzip aufgebaut. Die Clients oder Agenten sammeln die Informationen aus den Log-Dateien ein und senden sie an einen zentralen Server. Dieser bereitet die Daten auf, speichert sie und stellt eine Oberfläche zur Auswertung bereit. Als Grundlage für das Modul benutzen wir das mächtige Framework Elastic Stack der Firma elastic (www.elastic.co) und erweitern es um wichtige Funktionen für den praktischen Einsatz.

Sie können dieses Modul im Menü Software -> Lizenzen und Module -> Zusatzmodule installieren. Mehr Informationen zu der neuen Erweiterung finden Sie hier .

In dieser Version behobene Probleme

Security: ClamAV

Im Quellcode des Virenscanners ClamAV wurden Sicherheitslücken entdeckt. Diese werden mit diesem Software-Update geschlossen. Siehe ClamAV blog

Die Version ClamAV 0.99.4 wird installiert und bezieht sich auf folgende Common Vulnerabilities and Exposures (CVE):

CVE-2012-6706 CVE-2017-6419 CVE-2017-11423 CVE-2018-0202 CVE-2018-1000085

Security: Meltdown und Spectre - Gravierende Prozessor-Sicherheitslücke

Experten haben bei aktuellen Prozessoren verschiedener Hersteller kritische Sicherheitslücken entdeckt und unter den Namen Meltdown und Spectre veröffentlicht. Meltdown ist die Sicherheitslücke, die unprivilegierten Prozessen das Lesen von Kernel-Memory erlaubt. Spectre ist die Sicherheitslücke, die ausnutzt, dass CPUs viele Befehle spekulativ im Voraus ausführen (Speculative execution), was dazu führt, dass Speicherbereiche abgegriffen werden können. Dieses Update installiert eine Funktion gegen Spectre Variant 1, die im Linux Kernel implementiert wurde und nennt sich “User Pointer Sanitization”. Diese Schutzfunktion ist nicht auf Microcode Updates seitens der Prozessorhersteller angewiesen.

Weitere Informationen zu Meltdown und Spectre finden Sie hier .

Collax Sicherheitsempfehlung hier .

Heise FAQ hier .

GUI: Firefox Formular-Autovervollständigung von Passwörtern

Der Firefox Webbrowser merkt sich automatisch Einträge einzelner Textfelder. Aufgrund eines Fehlers in einer Firefox Programmeinstellung wurde beim Aufruf des Administratorformulars und im Dialog einzelner Benutzerkonten das Passwortfeld automatisch mit vorher gespeicherten Daten befüllt, was zur Folge hatte, dass sich die Einstellungen im Dialog änderten und ggf. angepasst werden mussten. Mit diesem Update wird der Fehler umgangen.

GUI: Tabellen in die Zwischenablage kopieren

Mit diesem Release wird das Kopieren von Tabellen in die Zwischenablage implementiert. Zum Kopieren wird die rechte Mousetaste in der Tabellenbezeichnung am Tabellenkopf mit der Aktion “Copy to clipboard” geklickt.

GUI: System-Logdateien und KDC

Im Menüpunkt “Status -> System-Logdateien” werden Meldungen aller Dienste oder einzelner Subsysteme zusammengeführt und können ausgewertet werden. Mit diesem Update werden Meldungen des Dienstes KDC (Key Distribution Center im Kerberos Subsystem) in eine separate Logdatei ausgelagert. Diese Datei ist nur noch in einem separaten Bereich auf der Linuxkonsole auslesbar. Aufgrund der “Geschwätzigkeit” des KDC Dienstes haben wir uns dazu entschieden, um die Logauswertung übersichtlicher zu gestalten.

Collax Communication: Freigabe bereits gelöschter Emails in IMAP Postfächern

Im Dialog “Mail und Messaging -> Mail Storage -> IMAP und POP3” kann der IMAP-Server aktiviert werden, über die Benutzer Zugang zu Ihrem Postfach erhalten. Aufgrund einer geänderten Standard Direktive innerhalb des Cyrus IMAP Mailservers wurden seit dem Release V7 bereits durch die Mailclients gelöschte Emails nicht vollständig von der Festplatte gelöscht und freigegeben. Mit diesem Release wird mittels cyr_expire für bereits gelöschte Emails der Speicherplatz wieder freigegeben. Beachten Sie bitte, dass damit bereits nach dem Neustart des IMAP Dienstes im Zug des Updates angefangen wird und nach dem Neustart des Servers und damit erneuten Start des IMAP Dienstes damit fortgefahren wird.

Collax Mail Security: Verdächtige Dateien blockieren

Im Dialog “Mail und Messaging -> Antivirus Mail-Filterung” wird die Filterung auf Viren für den E-Mail-Verkehr eingeschalten. Die Option “Verdächtige Dateien blockieren” war weiterhin aktiv, auch wenn die Filterung auf Viren wieder ausgeschalten war und die Option zuvor gesetzt wurde. Aufgrund einer fehlerhaften Routine innerhalb der Web-Oberfläche wurde die Funktion nicht entfernt. Mit diesem Update wird der Fehler korrigiert.

Collax Mail Security: Teergrube emulieren

Im Dialog “Mail und Messaging -> Spam -> Spam-SMTP-Filter” kann die Funktion Teergrube zur zusätzlichen Abwehr von Spam-E-Mails und der Verbreitung von Würmern eingeschaltet werden. Diese Option befindet sich im Zusatzmodul Collax Mail Security. Aufgrund einer fehlerhaften Routine innerhalb der Web-Oberfläche konnte die Funktion nicht abgespeichert werden. Mit diesem Update wird der Fehler korrigiert.

Hardware: IPMI VBAT auf Skylake

IPMI (Intelligent Platform Management Interface) dient zur Verwaltung und Überwachung von Hardware in einem System. Auf den Skylake-Supermicro-Mainboards meldete das Sensor Data Record (SDR) Repository für den Datensatz “VBAT” einen fehlerhaften Wert. Dies führte unterdessen auch zu einer Warnmeldung innerhalb der aktiven Überwachung. Mit diesem Update stellt Collax eine gepatchtes Programmpaket zur Verfügung, das den durch Supermicro-Mainboards verursachten Anzeigefehler behebt.

Hinweise

E-Mail: Erhöhter Platzbedarf bei Nutzung des IMAP-Servers und aktiviertem Volltext-Index

Im Dialog “Mail und Messaging -> Mail Storage -> IMAP und POP3” kann der IMAP-Server aktiviert werden, über die Benutzer Zugang zu Ihrem Postfach erhalten. Innerhalb der Optionen kann durch Aktivierung von “Erstelle Volltext-Index” die Suche innerhalb der IMAP-Ordner und E-Mails für die lokalen IMAP-Ordner beschleunigt werden. Bei aktiviertem Volltext-Index können in Einzelfällen bis zu 20% mehr Platzbedarf zum Release 7.0.12 (bei ebenfalls aktiviertem Volltext-Index) entstehen. Überprüfen Sie daher vor dem Update im Dialog “Status -> System -> Statistiken” für das Dateisystem “data” und den Dienst “cyrus” den Platzverbrauch und ermitteln Sie den Platzbedarf.

E-Mail: Collax Virus Protection powered by Kaspersky vor Version 7

Mit der Version 7 der Collax C-Server wurde die Anti-Virus-Engine und das Format der Pattern aktualisiert. Dies geschah, um auf neue Bedrohungen mit dem bestmöglichen Schutz reagieren zu können. Seit dem 01.01.2018 wurde die Aktualisierung der Patterns für Collax Version 5 und älter von Kaspersky eingestellt. Alle Installationen mit dem Modul Collax Virus Protection sollten daher auf den aktuellen Stand gebracht werden.

E-Mail: Freigabe bereits gelöschter E-Mails in IMAP Postfächern

Im Dialog “Mail und Messaging -> Mail Storage -> IMAP und POP3” kann der IMAP-Server aktiviert werden, über die Benutzer Zugang zu Ihrem Postfach erhalten. Aufgrund einer geänderten Standard Direktive innerhalb des Cyrus IMAP Mailservers wurden seit dem Release V7 bereits durch die Mailclients gelöschte E-Mails nicht vollständig von der Festplatte gelöscht und freigegeben. Seit Release 7.0.22 wird mittels cyr_expire für bereits gelöschte E-Mails der Speicherplatz wieder freigegeben. Beachten Sie bitte, dass damit bereits nach dem Neustart des IMAP Dienstes im Zug des Updates angefangen wird und nach dem Neustart des Servers und damit erneuten Start des IMAP Dienstes damit fortgefahren wird.