Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 132 replies
  • Subscribers 2 subscribers
  • Views 145695 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 9.1 Soft-Release Available

AngeloC
I am proud to announce that after months of research, development, and testing that today we are releasing Sophos UTM 9.1. This is a major update to the UTM line that introduces dozens of new features, offers vastly increased performance, and all told makes the UTM even more formidable in the market. You will find an amazing new system for enforcing your Web Security settings on clients anywhere they are in the world using new functionality in our UTM Endpoint offering, wireless repeating and bridging for our Wireless AP50, and SSL VPN for iOS and Android, and that's just a sample of what awaits you in UTM 9.1!

The full "GA" release will occur within the next weeks depending on the results of the soft-release feedback. We will closely monitor this thread up until the worldwide release. To our energetic and much-appreciated 9.1 Beta-testers: we will soon be winding down our Beta Forums and will post more news there shortly.

A word on soft-releases: These are the intended release for GA, however we do make small adjustments and fix some additional bugs between now and the GA push via our Up2Date infrastructure. Soft-releases are considered production-ready and not Beta releases, however soft-release Up2Dates can only be installed by downloading them manually to your PC and uploading them via WebAdmin, or installing the Soft-Release ISO on your hardware/software and restoring a backup file from your existing UTM.

Full release notes, an official Up2Date blog post, some tweaked documentation, and other details will be finalized and communicated with the release of the GA version, for now, if you'd like to install the 9.1 release a little bit in advance, the details can be found below.

[SIZE="3"]Sophos UTM 9.1 Release Information[/SIZE]
Download Links
Up2date for all installations from 9.006 to 9.100-8:

ftp://ftp.astaro.com/pub/UTM/v9/up2date/u2d-sys-9.006005-100008.tgz.gpg


9.100-8 ISO image for UTM Hardware Appliances:

ftp://ftp.astaro.com/pub/UTM/v9/hardware_appliance/iso/ssi-9.100-8.1.iso


9.100-8.1 ISO image for UTM Software Appliances:

ftp://ftp.astaro.com/pub/UTM/v9/software_appliance/iso/asg-9.100-8.1.iso



*For UTM 9.1 BETA TESTERS ONLY (this will bring you from 9.092 to the 9.100-8, it will not work for non-beta versions):

ftp://ftp.astaro.com/pub/UTM/v9/beta/u2d-sys-9.092008-100008.tgz.gpg


Official Up2Date Description:
Remarks:
* System will be rebooted
* Configuration will be upgraded
* Database will be converted
* Connected Wifi APs will perform firmware upgrade
* Connected RED devices will perform firmware upgrade

News:
Major Features
* Endpoint: Web Protection for UTM Endpoint
* Network/RED/Wifi: Support for MAC Address Filtering
* RED: Offline Provisioning
* VPN: SSL VPN Support for iOS and Android
* Wifi: Wireless Repeating and Bridging for AP50

Other Features
* WebAdmin: Replace “Traffic Lights” with Toggle-Switch Design
* WebAdmin: Replace Flash Charts with JavaScript-only Solution
* Endpoint: SAA for MacOS X
* Mail: SSL Support for POP3 Proxy
* Network: QoS Download Throttling
* Network: IPv6 Prefix Delegation
* Network: IPv6 Renumbering
* Network: DNSSEC Validation
* Network: Allow to specify direction of Country Blocking
* Network: Exceptions for Country Blocking
* Network: Increase Scalability of Network Reporting/Accounting
* Network: Multilink PPP Support
* Network: Amazon VPC IPSec Tunnel Support
* RED: Auto-Deauthorize Devices
* RED: Improve UMTS Modem Support
* RED/VPN: Notifications for tunnel up/down
* VPN: SSL VPN Profiles
* VPN: Support for AES+GCM and AES+CTR Ciphers in IPSec
* WAF: Outlook Anywhere Passthrough Support
* Web: Complete Customization of Block Pages
* Web: Optionally Force Caching of Sophos Endpoint Updates
* Web: Allow to specify Maximum Download Size
* Wifi: Redirect Support for Hotspot
* General: Database Architecture Overhaul
* General: More Services Support Lock-Out after Failed Authentication
* General: Time-Events can Span Across Midnight

Fixes:
#15089: Support for Outlook Anywhere via the Webapplication Firewall
#17999: It’s not possible to take over the internet explorer(8 & 9) proxy settings with the openvpn-gui client
#18601: Checkbox “Mime blocking inspects HTTP body” enabled does not work when Antivirus scanning is disabled
#19006: Internet Explorer still doesn't trust the webadmin certificate after importing the WebAdmin CA
#20050: gzip deflate compression not working with WAF
#21494: IPS report for pdf and csv is incorrect
#21590: Fix SNMP traps for notifications
#21825: Form hardening breaks ‘XHTML 1.0 strict’ compliance
#21829: Timeframe and Department missing in PDF header lines
#21857: Reporting: in the Top Applications by Client PDF export the total column is displayed twice
#21861: Application Control Reporting: incorrect data in the exported pdf/xls
#21892: Encryption User: Download PKCS#12 key doesn’t work if S/MIME is disabled
#21898: Web Protection Reporting: missing sorting order in pdf under some circumstances
#21928: SSL certificate exceptions do not work for urls with an IPv6 literal as hostname
#21942: IPS notifications contain invalid links
#21957: DHCP server not working properly with large IP ranges
#21958: Live log for packetfilter shows numbers instead of the protocol
#22371: The NAT rule object cannot use network group objects for the traffic destination attribute with uplink primary address
#22546: RED Split-Tunneling via UMTS is not working properly
#22634: Static IP address assignment for RED does not work together with transparent/split mode
#23333: Blocked application name on the block page is truncated
#24156: Search Engine Report => Top 10 pie has label with HTML br tag  in description.

Virtualization known issues note:
There is a small problem which leads to deadlocks during boot-up on some versions of the KVM virtualization if the KVM instance uses more than one CPU. Workaround is to only use this version in kvm instances with one CPU.
The ISO installer sometimes hangs on start-up when using Citrix XEN. The workaround is to install 9.006 and use the Up2Date to 9.100 to run this version.



This thread was automatically locked due to age.
  • 0
    Jan, I'd be tempted to get some good config backups, re-image with the 9.100014 ISO and restore.

    I don't know how DNS might be related to PostgreSQL, but maybe you would want, as root, to try /etc/init.d/postgresql rebuild.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Jan, I'd be tempted to get some good config backups, re-image with the 9.100014 ISO and restore.

    I don't know how DNS might be related to PostgreSQL, but maybe you would want, as root, to try /etc/init.d/postgresql rebuild.

    Cheers - Bob


    Can we do the same /etc/version change trick to update to 9.100014? I've not yet put 12 on but having some BIG issues with WiFi (clients can't connect in the morning, to me it seems like sessions arn't being closed so new ones can't be made) so was going to see if that resolves.
  • 0
    After installing this update, I did Enable Local Content Cache = Mem.
    My HP Proliant ML110 is 3GB.

    Key Point I want to highlight is the RAM is around 65 - 70% which is Normal.

    But the SWAP actually reaches 100% by itself after 3 days.

    I just did a Reboot just to monitor if this SWAP grows to 100% again.

    If it happens again, I would set Local Content Database to None.
  • 0
    Some news from here.

    Today I have upgraded from 9.006 to 9.100014.
    Took a while (about 20 minutes), and I could log in.
    Surfing didn't work' so I tried stopping HTTP Proxy.
    Surfing works.
    turn it on again, and checked the log.
    I have noticed that any surfing request, I'm getting the following line:

    2013:05:09-05:02:29 mdate httpproxy[10608]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="domain_regex_slist_init" file="confd-client.c" line="1036" message="compilation of regex '*.rima-tde.net' failed: Error while compiling regular expression *.rima-tde.net at char 0: nothing to repeat" 
    2013:05:09-05:02:29 mdate httpproxy[10608]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="domain_regex_slist_init" file="confd-client.c" line="1036" message="compilation of regex '82.80.105.182' failed: compilation of regex '82.80.105.182' failed: compilation of reg"

     After some thoughts and since the address "*.rima-tde.net" was an address I put in the URL filter-> Additional URLs/sites to block, I came to a conclusion it has something to do URL filter that block all my surfing.
    I have checked the window in "Additional URLs/sites to block", and strangely it was empty.   ALL sits which was in Black list has gone.
    I have put again the address "*.rima-tde.net" back – both in black AND white list, hit apply - and then remove them. 
    Surfing is OK now,

    My conclusions:
    1. There is a bug in 9.1, and its look like the "*" in the beginning of""*.rima-tde.net" block all Http traffic now (no problem in 9.006).
    2. There is a bug in 9.1 that hide ALL URLs in "Additional URLs/sites to block" and in "Always allow these URLs/sites"
    3. Never the less – those URLs are still somewhere over there and active.

    I wonder I there is any way to see it through SSH?
  • 0 in reply to Goldy_01
    I wonder I there is any way to see it through SSH?


    i don´t know about SSH... but what about the "Printable Configuration" Report unter "Support"?
  • 0
    "Printable Configuration":
    URL blocked sites list (url_blacklist) = empty list
    URL allowed sites list (url_whitelist) = empty list
  • 0 in reply to Goldy_01
    "Printable Configuration":
    URL blocked sites list (url_blacklist) = empty list
    URL allowed sites list (url_whitelist) = empty list


    a config with "lost" Items is as scary as it gets... Even my Home (printed) config is over 80 Pages long...
  • 0 in reply to Goldy_01
    ...I have noticed that any surfing request, I'm getting the following line:
    function="domain_regex_slist_init" file="confd-client.c" line="1036" message="compilation of regex '*.rima-tde.net' failed: Error while compiling regular expression *.rima-tde.net at char 0: nothing to repeat" 

    The asterisk 
  • 0 in reply to Billybob
    The asterisk 


    Exactly, it's not valid Regex "code."

    The "bug" in this case is that they were supposedly going to stop this error message from popping up, or prevent the use of the asterisk in the fields when adding rules.  Not sure what the plan was regarding pre-existing exceptions.  I'll be advising customers (when conversion day comes) to check for them preemptively.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    "The asterisk
    •  in the url is the problem. Remove it and the proxy will work."


    I know now. [:)]
    As I wrote, In the old versions, it was except able - Even in Ver 9.0xx
    Quit a few of as used it in the past and might have some URLs in the Black list From long time ago, which contain Astrix.
    Like BrucekConvergent wrote - It should have been able to resolve this issue, and not blocking all Http transportation - leaving you trying to guess why...
Cookie Information Banner