Firmware Updates

• Neu: Webserver Konfiguration Redirect von http auf https.
• Anpassungen an RED DA:
• Bei der ersten Anmeldung mit dem Benutzer "admin" ist die Eingabe eines neuen Passwortes erforderlich.
• Nach erfolgreicher Eingabe eines "admin" Passwortes findet ein automatischer Logout statt.

• Kleinere Korrekturen im HTML/CSS System.

• Update auf OpenVPN-2.5.11 behebt diverse Sicherheitsprobleme. Die vom Server gepushten Routen in Tunnel Verbindungen werden, je nach Instanz, mit unterschiedlichen Metriken eingetragen. Tunnel1 mit 10, Tunnel2 mit 20 etc.
• Verbesserungen im CSS System durch verwenden von data images.

• Das Bypass-LAN plugin von IPsec ist konfigurierbar. Vorgabe ist aus.
• OpenVPN Clients versuchen sich nach einem AUTH_FAILED automatisch neu zu verbinden.

Sicherheitskorrekturen:

• Update auf openssl-1.1.1w, behebt CVE-2023-3817, CVE-2023-3446, CVE-2023-2650, CVE-2023-0466, CVE-2023-0465, CVE-2023-0286, CVE-2023-0215, CVE-2022-4450 und CVE-2022-4304.
• CA Zertifikate aktualisiert (Ausgabe 2023-03-11).
• Curl: Update auf Version 8.4.0
• Update auf dnsmasq-2.88 behebt CVE-2022-0934.

Neue Funktion:

• Erweitertes Verhalten des Reset-Tasters: ein kurzer Druck (~1 Sek.) lässt das Gerät neu starten (reboot).

Fehlerkorrektur:

• Nach einer Unterbrechung der ADSL/ATM Verbindung und erneutem ADSL-Sync, wird die Internet Verbindung neu aufgebaut.

• Es kann ein Signal-Rausch-Abstands Offset für die DSL Leitung konfiguriert werden. Der Bereich ist +/- 3db in 0.5dB Schritten.

• IPsec update auf strongSwan-5.9.8 mit geändertem Verhalten des IKEv2 Initiators.
• Der DHCP Server zeigt an wann eine verliehene Adresse abläuft.
• PPP update auf Version 2.4.9, Dnsmasq update auf 2.86.

Sicherheitskorrekturen:

• musl Patch behebt CVE-2020-28928.
• Die Log-Dateien verwenden jetzt die Lokalzeit.

Sicherheitskorrekturen:

• Den Linux Kernel auf 4.9.325 aktualisiert.
• Update auf openssl-1.1.1q.

Neue Funktion:

• Die Dateisysteme ext4, ext3, und ext2 werden neben vfat auf dem USB-Stick unterstützt.

Sicherheitskorrekturen:

• Update auf zlib-1.2.12 behebt CVE-2018-25032.
• Update auf openssl-1.1.1o behebt CVE-2022-0778.
• Update auf expat-2.4.7 behebt CVE-2022-23852, CVE-2022-23990, CVE-2022-25235, CVE-2022-25236, CVE-2022-25313, CVE-2022-25314 und CVE-2022-25315.
• Update auf openvpn-2.4.12 behebt CVE-2022-0547.
• CA-Zertifikate aktualisiert (2021-10-16).

Korrekturen:

• IPsec: unterbinde die Sendung von Zertifikaten wenn Preshared Key konfiguriert ist.
• LAN seitige MTU Änderungen werden sofort übernommen, nicht erst nach reboot.
• Die unter Software angezeigten Paketnamen sind jetzt korrekt.

Neue Funktion:

• Zum E-mail versenden können jeweils bis zu 10 Empfänger angegeben werden. Weitere Empfänger können, getrennt durch ein Komma, in jeder Zeile angegeben werden.
• Die "gepushten" Routen beim OpenVPN-Server können ein-/ausgeschaltet werden.

Änderungen:

• Den Linux Kernel auf 4.9.287 aktualisiert.
• Die Log-Einträge von dnsmasq sind jetzt auch in der Zeitzone UTC+0.

Sicherheitskorrekturen:

• Update auf openssl-1.1.1l behebt CVE-2021-3711 und CVE-2021-3712.

Neue Funktion:

• IPsec: Im Mode IKEv2 können bis zu 5 Netze (Traffic Selectors) für die lokale und/oder entfernte Adresse, gesetzt werden. Die optionale NAT Funktion wirkt dabei nur auf das erste Paar aus lokalem und entferntem Netz.
• Die unter "Device services/SNMP setup/Configuration" angegebenen System Informationen können über dem Auswahlmenü und auf der Login-Seite angezeigt werden.

Sicherheitskorrekturen:

• Update auf dnsmasq-2.85 behebt CVE-2021-3448.

Änderungen:

• Den Linux Kernel auf 4.9.268 aktualisiert.

Neue Optionen:

• In OpenVPN Verbindungen kann die ab openvpn-2.4 mögliche option compress benutzt werden. Weiterhin kann die Cipher-Gruppe AES-xxx-GCM ausgewählt werden.
• In den IPsec Verbindungen kann jetzt eine UDP Verkapselung erzwungen werden.

Neue Features bzw. Sicherheitsupdates:

• Verwendung von OpenSSL-1.1.1 mit Unterstützung für TLS-1.3.
• Webserver mit TLS-1.3
• OpenVPN mit TLS-1.3
• E-Mail senden mit TLS-1.3

Änderungen:

• Basis ist OpenWRT-18.06.9
• Den Linux Kernel auf 4.9.243 aktualisiert.
• In IPsec ist jetzt das LAN-bypass Feature immer aktiv.
• die zulässige Startzeit für IPsec verlängert auf 30s um einen vorzeitigen Timeout zu vermeiden. Ansonsten kann es bei grossen Schlüssellängen zu einem vorzeitigen Abbruch des IPsec Prozesses führen.
• Für IPsec kann die Adressfamilie eingestellt werden.
• Der PKCS#12-Zertifikatsimport unterstützt jetzt Schlüssel mit elliptischen Kurven.

Sicherheitskorrekturen:

• Patch für PPPD, behebt CVE-2020-8597

Korrekturen:

• Start-/Stop Problem des Webservers behoben, welches zu einem Verlust der http/https Verbindung nach einer Änderungen an der Konfiguration führte.
• IPsec XAuth korrigiert. XAuth kann nur mit IKEv1 benutzt werden.
• Der ssh-Port kann auch bei aktiviertem Zugang geändert werden.
• Der cron-job arbeitet jetzt zuverlässig. Betrifft alle zeitgesteuerten Aktionen.
• Die ssh Anmeldung bleibt jetzt im eingeschränkten Admin-Konto. Um superuser Aktionen auszuführen ist vorher mittels 'su' auf das root-Konto zu wechseln.

Neue Features:

• Für ADSL kann der Transfermode auf PTM eingestellt werden.
• Der IPsec Status zeigt den benutzen Port der Gegenstelle an.

Korrekturen:

• Speicher-Problem im VDSL Treiber behoben welcher zu Übertragungshängern führte.

Neue Features:

• Das Befehlszeilenprogramm tcpdump ist jetzt standardmäßig vorhanden.
• Das Befehlszeilenprogramm wget unterstützt jetzt https.

Änderungen:

• Den Linux Kernel auf 4.9.211 aktualisiert.

Korrekturen:

• Das Neuerzeugen der ssh Zertifikate funktioniert wieder.

Sicherheitskorrekturen:

• eine authentifizierte Befehlsinjektion mit Hilfe einer händisch modifizierten POST Anweisung wird jetzt verhindert.

Neue Features:

• Der IPsec Status zeigt an ob NAT-Traversal benutzt wird.
• openssl update auf 1.0.2u behebt CVE-2019-1551.

Korrekturen:

• Der NTP client synchronisiert sich auch nach einer Änderung am WAN Interface (z.B. PPPoE Ab-/Aufbau) wieder mit dem Zeit-Server.

Neue Features:

• Bei Geräten mit mehr als einem LAN-Port sind die weiteren Ports abschaltbar.

Neue Features:

• Auto-Reboot bei Fehler im LAN Port nach Neustart

Änderungen:

• Update auf openwrt-18.06.5 mit Kernel linux-4.9.198
• openssl update auf 1.0.2t behebt CVE-2019-1547, CVE-2019-1552 und CVE-2019-1563.

Neue Features:

• Kernel Modul für ftp und sip connection tracking eingebaut.
• Das Connection tracking für beide Protokoll ist standardmäßig eingeschaltet. Wenn keines der beiden Protokolle benötigt wird, dann kann in "Network security setup/Connection tracking NAT" die Funktion deaktiviert werden.

Neue Features:

• Für den openvpn Server kann die Adressfamilie eingestellt werden. "auto" : dual-stack, IPv4 und IPv6 "IPv4" : nur IPv4 "IPv6" : nur IPv6

Neue Features:

• Für den openvpn Verbindungsaufbau kann die Adressfamilie eingestellt werden.
• Ein Firmwareupdate ist jetzt auch über ssh möglich.

Änderungen:

• Update auf openwrt-18.06.4 mit Kernel linux-4.9.184
• IPsec strongSwan update auf version 5.7.2
• openssl update auf 1.0.2s

Korrekturen:

• Die Funktion "IP and Port forwarding" arbeitet jetzt wieder mit beliebigen Portbereichen, allerdings nur wenn die Ports nicht umgeschrieben werden müssen. Sollen Ports umgeschrieben werden, z.B. In-Port=8080 Out-Port=80, dann ist ist der Bereich auf 10 Ports begrenzt.

Neue Features:

• Das TCP-MSS clamping kann in "Network security" setup konfiguriert werden.

Korrekturen:

• Statusabfrage der Eingänge via XML-Server wieder funktionsfähig.
• Der Webserver funktioniert jetzt auch mit Zertifikaten welche von einer CA unterschrieben wurden.

Neue Features:

• DHCP Log kann konfiguriert werden.

Korrekturen:

• IPv6 Adressen auf dem WAN Interface zuverlässiger auffrischen.
• Das Admin Passwort kann nur geändert werden wenn das alte Passwort eingegeben wurde.

Neue Features:

• Auf der WAN Seite kann der IPv6 Dualstack Betrieb aktiviert werden.
• Auf der LAN Seite kann als IPv6 DHCP Service das Routing Advertisement und stateless-/statefull DHCP aktiviert werden.

Neue Features:

• Neuen Hauptmenue-Eintrag "Device services" in dem der Web-Server, SSH-Server SNMP und der Socket-Server konfiguriert werden.
• Für den SSH-Server kann der verwendete Port festgelegt werden.

Korrekturen:

• Ein geringfügiges Problem in den Startup-Scripten behoben wenn das Gerät mit aktiviertem VLAN auf der DSL-Verbindung startet.

Neue Features:

• In den Einstellungen zum DHCP-Server kann der autoritative Modus Ein-/Ausgeschaltet werden.

Korrekturen:

• ADSL Verbindungen über PPPoATM sollten jetzt funktionieren.

Sicherheitskorrekturen:

• Update auf openSSL-1.0.2q, behebt CVE-2018-5407 und CVE-2018-0734.

Korrekturen:

• Fehlermeldungen beim Zertifikatsimport verbessert.

Verbesserungen:

• Webserver mit Zertifikatsimport.
• In Firewall und Portweiterleitungen kann jeder Eintrag Ein-/Ausgeschaltet werden.

Verbesserungen:

• Vectoring wird unterstützt.