Firmware Updates

• Update auf Kernel: linux-5.10.249
• Das Update des OpenSSL Pakets auf Version 3.0.19 behebt die Schwachstellen CVE-2025-15467, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 und CVE-2026-22796.

• Korrektur des System-Log auf USB Datenträger. Der USB Datenträger wird jetzt auch nach einem Reboot noch weiterbenutzt.
• Laden der Konfiguration von externen Medien wie USB-Stick oder SD-Karte ist jetzt unabhängig vom System-Log auf externe und interne Medien.
• Korrektur der MTU Einstellung auf der WAN-Schnittstelle.

• Der Web Zugriff benutzt jetzt eine Session. D.h. alle An- und Abmeldungen werden ins System-Log geschrieben. Die Session ist für max. 30 Minuten gültig wenn keine Aktionen durchgeführt werden. Ansonsten läuft die Session spätestens nach 8 Stunden ab.
• Der Zugriff von Benutzer "user" kann ausgeschaltet werden.

• Update auf Kernel: linux-5.10.245

• Das Update des OpenSSL Pakets auf Version 3.0.18 behebt die Schwachstellen CVE-2024-5535, CVE-2024-4741, CVE-2024-2511, CVE-2024-0727, CVE-2023-5678, CVE-2024-13176 sowie CVE-2025-9230, CVE-2025-9231 und CVE-2025-9232.
• SMTP: weniger Einschränkungen im Zeichensatz für Benutzername und Passwort.
• E-Mail: das Einschleusen von auführbaren Scripten beim Import der Konfiguration wird unterbunden. Ebenso beim E-Mail Versandt via XML-Server.

• Update auf Kernel: linux-5.10.242
• Die XML-Server Funktionalität ist jetzt auch via ssh nutzbar.
• Eine CycloneDX SBOM wird erstellt.
• Update der installierten CA-Zertifikate auf Version 20241223.

• Update auf Kernel: linux-5.10.240

• Update auf Kernel: linux-5.10.238
• CRC-Check des Bootloaders u-boot vor dem Start. Ethernet LEDs korrigiert. (nur für Transit-FW oder Werks-Installation)
• Anpassungen an RED DA: TLS1.0 und TLS1.1 sind ausgeschaltet. Bei der ersten Anmeldung mit dem Benutzer "admin" ist die Eingabe eines neuen Passwortes erforderlich.
• Nach erfolgreicher Eingabe eines "admin" Passwortes findet ein automatischer Logout statt.

• Kleinere Korrekturen im HTML/CSS System.

• Verbesserungen im CSS System durch verwenden von data images.

• Update auf OpenVPN-2.5.11 behebt diverse Sicherheitsprobleme. Die vom Server gepushten Routen in Tunnel Verbindungen werden, je nach Instanz, mit unterschiedlichen Metriken eingetragen. Tunnel1 mit 10, Tunnel2 mit 20 etc.

• interne IPsec Vereinfachung der Konfiguration.

Korrekturen:

• TLS1.1 kann jetzt im Webserver ausgeschaltet werden ohne Verlust der https Funktion.

• Kernel: update auf linux-5.10.228 This fixes several vulnerabilitys: CVE-2024-41007, CVE-2024-47668, CVE-2024-46829.

• USB-Sticks im exfat Format und ext4 Format werden unterstützt.
• SDXC-Karten können benutzt werden.

• Ein stop target für den cron-daemon ergänzt.
• OpenVPN Clients versuchen sich nach einem AUTH_FAILED automatisch neu zu verbinden.

• Das Bypass-LAN plugin von IPsec ist konfigurierbar. Vorgabe ist aus.

Neue Funktionen:

• OpenVPN: neue Option für TLS-Encryption.
• Die im SSH Server installierten authorized_keys werden in einer Liste angezeigt.

Sicherheitskorrekturen:

• Update auf openssl-1.1.1q behebt CVE-2022-1292 und CVE-2022-2068.

Sicherheitskorrekturen:

• Update auf openssl-1.1.1n behebt CVE-2022-0778.
• Update auf expat-2.4.7 behebt CVE-2022-23852, CVE-2022-23990, CVE-2022-25235, CVE-2022-25236, CVE-2022-25313, CVE-2022-25314 und CVE-2022-25315.
• Update auf openvpn-2.4.12 behebt CVE-2022-0547.
• Update auf zlib-1.2.12 behebt CVE-2018-25032.

Sicherheitskorrekturen:

• IPsec: Korrektur behebt CVE-2021-41990 und CVE-2021-41991.

Neue Funktion:

• Zum E-mail versenden können jeweils bis zu 10 Empfänger angegeben werden. Weitere Empfänger können, getrennt durch ein Komma, in jeder Zeile angegeben werden.

Sicherheitskorrekturen:

• Update auf openssl-1.1.1l behebt CVE-2021-3711 und CVE-2021-3712.

Neue Funktionen:

• IPsec: Im Mode IKEv2 können bis zu 5 Netze (Traffic Selectors) für die lokale und/oder entfernte Adresse, gesetzt werden. Die optionale NAT Funktion wirkt dabei nur auf das erste Paar aus lokalem und entferntem Netz.

Erweiterungen:

• Ein neues Produkt, ohne serielle Schnittstelle, wird unterstützt.

Verbesserungen:

• Behebt ein Problem aufgrund mangelnder Entropy im Kernel, welcher zum Stillstand des Gerätes führen kann.

Sicherheitskorrekturen:

• Update auf openssl-1.1.1k behebt CVE-2020-1971, CVE-2021-3449 und CVE-2021-3450.
• Update auf dnsmasq-2.85 behebt CVE-2020-25684 und CVE-2020-25686.
• Update auf openvpn-2.4.11 behebt CVE-2020-15078.

Fehlerkorrektur:

• IPsec mit XAuth ist wieder Funktionsfähig. Die Web-GUI sorgt dafür das XAuth nur mit IKEv1 arbeiten kann. Da XAuth nur für IPv4 geeignet ist, sollte die Adressierung auf IPv4 beschränkt werden wenn als Gegenstelle eine URL verwendet wird.

Neue Optionen:

• In OpenVPN Verbindungen kann die ab openvpn-2.4 mögliche option compress benutzt werden. Weiterhin kann die Cipher-Gruppe AES-xxx-GCM ausgewählt werden.
• In den IPsec Verbindungen kann jetzt eine UDP Verkapselung erzwungen werden.

Verbesserungen:

• die zulässige Startzeit für IPsec verlängert auf 30s um einen vorzeitigen Timeout zu vermeiden. Ansonsten kann es bei grossen Schlüssellängen zu einem vorzeitigen Abbruch des IPsec Prozesses führen.
• Der PKCS#12-Zertifikatsimport unterstützt jetzt Schlüssel mit elliptischen Kurven.

Sicherheitskorrekturen:

• Patch für PPPD, behebt CVE-2020-8597
• Patch behebt CVE-2017-16544 in busybox.
• eine authentifizierte Befehlsinjektion mit Hilfe einer händisch modifizierten POST Anweisung wird jetzt verhindert.
• Update auf openssl-1.1.1g behebt CVE-2020-1967.

Verbesserungen:

• Unterstützung für ext3 formatierte Datenträger (USB-Stick und SD-Karte)
• Der IPsec-Status zeigt den verwendeten Port der Gegenseite an.
• Der OpenNTPd Client wird bei Protokollfehler nicht mehr beendet sondern neu gestarted.
• IPsec arbeitet jetzt auch mit IPv6 Gegenstellen zusammen.

Verbesserungen:

• der SNMP-Daemon wird jetzt im Hintergrund verzögert gestarted um ein 6 minütiges Hängenbleiben bei Hochlaufen des Gerätes zu vermeiden.

Neue Features:

• Für den openvpn Verbindungsaufbau kann die Adressfamilie eingestellt werden.
• Für den openvpn Server kann die Adressfamilie eingestellt werden. "auto" : dual-stack, IPv4 und IPv6 "IPv4" : nur IPv4 "IPv6" : nur IPv6
• Ein Firmwareupdate ist jetzt auch über ssh möglich.

Bugfix:

• Die unnötige Einschränkung in den "IP and port forwarding" Regeln auf 10 fortlaufende Ports entfernt wenn Quell- und Zielbereich identisch sind.

Erstes Release