################################################################################ # ____ _ _ _ _ # # | _ \ ___| | ___ __ _ ___ ___ | \ | | ___ | |_ ___ ___ # # | |_) / _ \ |/ _ \/ _` / __|/ _ \ | \| |/ _ \| __/ _ \/ __| # # | _ < __/ | __/ (_| \__ \ __/ | |\ | (_) | || __/\__ \ # # |_| \_\___|_|\___|\__,_|___/\___| |_| \_|\___/ \__\___||___/ # # # # # # Version(s) : TDT APOS 3.0.7 (Hotfix Release) # # # # Languages : Deutsch & English (below) # # # ################################################################################ ## ACHTUNG / ATTENTION * SICHERHEIT!!! / SECURITY!!! - Update of the OpenSSL version to fix several vulnerabilities including CVE-2023-3817, CVE-2023-3446, CVE-2023-0286 and further. - IPsec: Patches to fix the strongswan vulnerabilities CVE-2022-40617, CVE-2021-45079, CVE-2021-41991 and CVE-2021-41990. - Patch to fix OpenSSL Renegotiation DoS Vulnerability CVE-2011-1473 and CVE-2011-5094. - WLAN/WiFi updates for `mac80211` and `cfg80211` to fix CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721 and CVE-2022-42722. - OpenVPN: Tunnel mit aktivierter Kompression (comp-lzo; compress) sind mittels VORACLE Attacke (MITM) potenziell angreifbar. - OpenVPN: Tunnels with activated compression (comp-lzo; compress) are potentially vulnerable to VORACLE attack (MITM). * Firewall (fw3/iptables) abgekündigt / deprecated: - Die aktuelle Firewall ist abgekündigt und wird mit dem nächsten Major Release durch (fw4/nftables) ersetzt. Die bestehende Konfiguration bleibt kompatibel. Skripte wie `/etc/firewall.user` die `iptables` verwenden müssen bei Bedarf aktualisiert werden. - The current firewall is deprecated and will be replaced by (fw4/nftables) with the next major release. Existing configurations remain compatible. Scripts such as `/etc/firewall.user` that use `iptables` must be must be updated if necessary. * Mobilfunkmanagement (umm) abgekündigt / deprecated: - Das Mobilfunkmanagement ist abgekündigt und wird mit dem nächsten Major Release durch den Modem Manager ersetzt. - The mobile radio management is deprecated and will be replaced with the next major release by the Modem Manager. * TR-069 (easycwmp) abgekündigt / deprecated: - TR-069 ist abgekündigt und wird mit dem nächsten Major Release aus dem System entfernt. - TR-069 is deprecated and will be removed with the next major release. * Bonding abgekündigt / deprecated: - Die Funktion ist zur Löschung vorgesehen. - The funktion is planed for removal. * OpenVPN Parameter abgekündigt / deprecated: - Der Parameter `ncp-ciphers` wurde auf `data-ciphers` umbenannt. - Die Funktion `ncp-disable` wird im nächsten Major Release entfernt sein. - Ab dem nächsten Major Release steht `keysize` nicht mehr zur Verfügung. - Die `simple configuration`, die `secret` zur Static Key Verschlüsselung (ohne TLS) nutzt ist zur Löschung vorgesehen. - Der Parameter `comp-lzo` ist abgekündigt und wird in einer der nächsten Versionen entfernt. Auch `compress` ist als deprecated markiert. - The parameter `ncp-ciphers` has been renamed to `data-ciphers`. - The function `ncp-disable` will be removed with the next major release. - As of the next major release, `keysize` will no longer be available. - The `simple configuration` using `secret` with Static Key encryption mode (non-TLS) is planed for removal. - The parameter `comp-lzo` is deprecated and will be removed in one of the next versions. Also `compress` is marked as deprecated. * Routing Protocol Suite quagga abgekündigt / deprecated: - Ab der aktuellen Version APOS 3.0 ist `quagga` durch den Nachfolger `frr` abgelöst. Bestehende Konfigurationen werden nicht automatisch migriert. - As of the current version APOS 3.0, `quagga` is replaced by its successor `frr`. Existing configurations won't be migrated automatically. ## Konfigurationsempfehlung / Configuration recommendation * WLAN-Manager (travelmate): - Anpassung der Standardwerte bei `Zeitüberschreitung der Schnittstelle` und `Gesamt-Timeout`. Die Werte werden automatisch entsprechend angepasst. * Wireless Manager (travelmate): - Adjustment of the default values for `Interface timeout` and `Overall timeout`. The values are adjusted automatically. * OpenVPN: - Zur Vermeidung von VORACLE Attacken empfehlen wir die Parameter - `comp-lzo` und `compress` aus der Konfiguration zu entfernen. - Sollten die Parameter weiterverwendet werden, wird empfohlen - `comp-lzo` auf `no` und `compress` auf `stub-v2` zu ändern. - Die Parameter könnten an Clients gepushed werden, indem `push` am Server je mit `comp-lzo no` und `compress stub-v2` eingefügt wird. - Abgekündigte Parameter die aus der Konfiguration entfernt werden sollten: - `ncp-disable` wird im nächsten Major Release nicht mehr unterstützt. - `keysize` steht im nächsten Major Release nicht mehr zur Verfügung. - Da mit dem nächsten Major Release `ncp-ciphers` nicht mehr unterstützt wird ist es Notwendig auf den `data-ciphers` zu wechseln. - Als Ablösung der `simple configuration` mit Static Key Verschlüsselung (ohne TLS) wäre ein Wechsel zu WireGuard als Option möglich. * OpenVPN: - To avoid VORACLE attacks we recommend to remove the parameters - `comp-lzo` and `compress` from configurations. - If the parameters are still to be used, we recommend - changing `comp-lzo` to `no` and `compress` to `stub-v2`. - The parameters could be pushed to clients by inserting `push` on the server with `comp-lzo no` and `compress stub-v2`. - Deprecated parameters that should be removed from the configuration: - `ncp-disable` will no longer be supported in the next major release. - `keysize` will no longer be available in the next major release. - As with the next major release `ncp-ciphers` is no longer supported it is necessary to switch to `data-ciphers`. - As a replacement for the `simple configuration` with static key encryption (non-TLS), it would be possible to switch to WireGuard as an option. ################################################################################ # # # Version : TDT APOS 3.0.7 # # # # Type : Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Neue Funktionen: * vnStat-Datenverkehrsmonitor: - Erweiterung des Funktionsumfangs durch `vnstat-database-backup` um die aufgezeichneten Daten persistent vorzuhalten. Die Konfiguration erfolgt vorerst über die Kommandozeile. Fehlerbehebungen: * LED-Konfiguration: - Mobilfunk-LEDs werden korrekt wiedergegeben und sind rekonfigurierbar. * Checkmk: - Agent-Rückmeldung für Checkmk 2.2 angepasst um keine Warnung zu erhalten. Optimierungen: * TDT Online Firmware Update (signedupdater): - Anzeige von Updates nur bei Abweichung zu aktueller Firmware. * Interne Änderungen: - Update der OpenSSL Version auf 1.1.1v um mehrere Schwachstellen zu beheben - Systeminterne Anpassungen/Optimierungen. Sicherheitsempfehlung: * SICHERHEIT!!! - Update der OpenSSL Version zur Behebung mehrerer Schwachstellen einschließlich CVE-2023-3817, CVE-2023-3446, CVE-2023-0286 und weiterer. ################################################################################ # # # Version : TDT APOS 3.0.6 # # # # Type : OEM Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Neue Funktionen: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Systeminterne Anpassungen/Optimierungen. Sicherheitsempfehlung: -- ################################################################################ # # # Version : TDT APOS 3.0.5 # # # # Type : Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Neue Funktionen: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Systeminterne Anpassungen/Optimierungen. Sicherheitsempfehlung: -- ################################################################################ # # # Version : TDT APOS 3.0.4 # # # # Type : Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Neue Funktionen: -- Fehlerbehebungen: -- Optimierungen: * WLAN-Manager (travelmate): - Anpassung der Standardwerte bei `Zeitüberschreitung der Schnittstelle` und `Gesamt-Timeout`. Die Werte werden automatisch entsprechend angepasst. * Interne Änderungen: - Systeminterne Anpassungen/Optimierungen. Sicherheitsempfehlung: -- ################################################################################ # # # Version : TDT APOS 3.0.3 # # # # Type : Hotfix Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Neue Funktionen: -- Fehlerbehebungen: -- Optimierungen: * IPsec (strongswan): - Patches um die folgenden strongswan Sicherheitslücken CVE-2022-40617, CVE-2021-45079, CVE-2021-41991 und CVE-2021-41990 zu schließen. * Interne Änderungen: - Systeminterne Anpassungen/Optimierungen. Sicherheitsempfehlung: * SICHERHEIT!!! - IPsec: Patches zum Schließen der strongswan Sicherheitslücken CVE-2022-40617, CVE-2021-45079, CVE-2021-41991 und CVE-2021-41990. ################################################################################ # # # Version : TDT APOS 3.0.2 # # # # Type : OEM Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Neue Funktionen: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Systeminterne Anpassungen/Optimierungen. Sicherheitsempfehlung: -- ################################################################################ # # # Version : TDT APOS 3.0.1 # # # # Type : OEM Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: -- Neue Funktionen: -- Fehlerbehebungen: -- Optimierungen: * Interne Änderungen: - Systeminterne Anpassungen/Optimierungen. Sicherheitsempfehlung: * SICHERHEIT!!! - Patch um die OpenSSL Renegotiation DoS Vulnerability zu beheben CVE-2011-1473 und CVE-2011-5094. ################################################################################ # # # Version : TDT APOS 3.0.0 # # # # Type : Major Release # # # # Language : Deutsch # # # ################################################################################ Allgemein: * Linux Kernel von Version 4.14.269 auf 5.4.215 aktualisiert. * Routing Protocol Suite: - Ab der aktuellen Version APOS 3.0.0 ist `quagga` durch den Nachfolger `frr` abgelöst. Bestehende Konfigurationen werden nicht automatisch migriert. * Dynamisches DNS: - Abgekündigten Service `dyntdt` aus dem System entfernt. Neue Funktionen: * Schnittstellen: - lan: Umstellung des Switches der VR2020 Plattform auf ein vereinfachtes Konfigurationsschema unter Verwendung der neuen DSA-Treiberinfrastruktur. Auch werden die internen Schnittstellennamen von eth auf wan/lan geändert. - Global: Umbenennung des Konfigurationsparameters `ifname` auf `device`. Bei Upgrade wird automatisch eine Migration durchgeführt. * vnStat-Datenverkehrsmonitor: - Monitoringsystem zur Überwachung des Datenverkehrs von benutzerdefinierten Schnittstellen eingeführt. Der Dienst wird standardmäßig nicht gestartet. * Kryptographie: - SHA512 Unterstützung wurde global hinzugefügt. * Durchsatzmessung (iPerf): - Für die Messung des Datendurchsatzes steht nun auch `iperf3` zur Verfügung. Fehlerbehebungen: -- Optimierungen: * MultiWAN Manager (mwan3): - Verbessertes Handling des Tracking-Scores. - In den Standardkonfigurationen wurde die mwan3 `default rule` entfernt. * Interne Änderungen: - Die Systemleistung wurde verbessert. - Update der OpenSSL Version auf 1.1.1q um CVE-2022-1292, CVE-2022-2068 und CVE-2022-2097 zu beheben. - `binutils` Update auf Version 2.34. - `busybox` Update auf 1.33.1. - `curl` Update auf 7.83.1. - `dnsmasq` Update auf Version 2.85. - `dropbear` Update auf Version 2020.81. - `gcc` Update auf Version 8.4.0. - `glibc` Update auf Version 2.33. - `hostapd` Update auf Version 2020-06-08. - `mac80211` Update auf Version 5.10.110-1. - `musl` Update auf Version libc 1.1.24. - `travelmate` Update auf Version 2.0.7-2. - Update der `wireless-regdb` auf Version 2022.08.12. - Weitere systemweite Anpassungen/Optimierungen. Sicherheitsempfehlung: * SICHERHEIT!!! - Update der OpenSSL Version um CVE-2022-1292, CVE-2022-2068 und CVE-2022-2097 zu beheben. - WLAN/WiFi Update von `mac80211` und `cfg80211` um CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721 und CVE-2022-42722 zu beheben. ################################################################################ ################################################################################ # # # Version : TDT APOS 3.0.7 # # # # Type : Hotfix Release # # # # Language : English # # # ################################################################################ General: -- New functions: * vnStat traffic monitor: - Added the `vnstat-database-backup` for persistent storage of recorded data. Configuration is done via the command line for now. Fixes: * LED configuration: - Mobile radio LEDs are displayed correctly and can be reconfigured. * Checkmk: - Agent response for Checkmk 2.2 adjusted to not receive a warning. Optimizations: * TDT online firmware update (signedupdater): - Display of updates only in case of deviation from current firmware. * Internal changes: - Update OpenSSL to version 1.1.1q to fix several vulnerabilities. - System-internal adjustments/optimisations. Security advisory: * SECURITY!!! - Update of the OpenSSL Version to fix several vulnerabilities including CVE-2023-3817, CVE-2023-3446, CVE-2023-0286 and further. ################################################################################ ################################################################################ # # # Version : TDT APOS 3.0.6 # # # # Type : OEM Release # # # # Language : English # # # ################################################################################ General: -- New functions: -- Fixes: -- Optimizations: * Internal changes: - System-internal adjustments/optimisations. Security advisory: -- ################################################################################ ################################################################################ # # # Version : TDT APOS 3.0.5 # # # # Type : Hotfix Release # # # # Language : English # # # ################################################################################ General: -- New functions: -- Fixes: -- Optimizations: * Internal changes: - System-internal adjustments/optimisations. Security advisory: -- ################################################################################ ################################################################################ # # # Version : TDT APOS 3.0.4 # # # # Type : Hotfix Release # # # # Language : English # # # ################################################################################ General: -- New functions: -- Fixes: -- Optimizations: * Wireless Manager (travelmate): - Adjustment of the default values for `Interface timeout` and `Overall timeout`. The values are adjusted automatically. * Internal changes: - System-internal adjustments/optimisations. Security advisory: -- ################################################################################ # # # Version : TDT APOS 3.0.3 # # # # Type : Hotfix Release # # # # Language : English # # # ################################################################################ General: -- New functions: -- Fixes: -- Optimizations: * IPsec (strongswan): - Patches to fix the following strongswan vulnerabilities CVE-2022-40617, CVE-2021-45079, CVE-2021-41991 and CVE-2021-41990. * Internal changes: - System-internal adjustments/optimisations. Security advisory: * SECURITY!!! - IPsec: Patches to fix the strongswan vulnerabilities CVE-2022-40617, CVE-2021-45079, CVE-2021-41991 and CVE-2021-41990. ################################################################################ # # # Version : TDT APOS 3.0.2 # # # # Type : OEM Release # # # # Language : English # # # ################################################################################ General: -- New functions: -- Fixes: -- Optimizations: * Internal changes: - System-internal adjustments/optimisations. Security advisory: -- ################################################################################ # # # Version : TDT APOS 3.0.1 # # # # Type : OEM Release # # # # Language : English # # # ################################################################################ General: -- New functions: -- Fixes: -- Optimizations: * Internal changes: - System-internal adjustments/optimisations. Security advisory: * SECURITY!!! - Patch to fix OpenSSL Renegotiation DoS Vulnerability CVE-2011-1473 and CVE-2011-5094. ################################################################################ # # # Version : TDT APOS 3.0.0 # # # # Type : Major Release # # # # Language : English # # # ################################################################################ General: * Linux kernel updated from version 4.14.221 to 5.4.215. * Routing Protocol Suite - As of the current version APOS 3.0.0, `quagga` is replaced by its successor `frr`. Existing configurations won't be migrated automatically. * Dynamic DNS - Removed the discontinued service `dyntdt` from the system. New functions: * Interfaces: - lan: Conversion of the VR2020 Platform Switch to a simplified configuration scheme using the new DSA driver infrastructure. The internal interface names are also changed from eth to wan/lan. - Global: Rename of the configuration parameter `ifname` to `device`. Migration is performed automatically on upgrade. * vnStat Traffic Monitor - Monitoring system introduced to monitor traffic from user-defined interfaces. The service is not started by default. * Kryptographie - SHA512 Unterstützung wurde global hinzugefügt. * Bandwith/Througput Mesurement (iPerf): - For measuring the data throughput, `iperf3` is now also available. Fixes: -- Optimizations: * MultiWAN Manager (mwan3): - Improved handling of the tracking score. - The mwan3 `default rule` has been removed in the default configurations. * Internal changes: - The system performance has been improved. - Update OpenSSL to version 1.1.1q to fix CVE-2022-1292, CVE-2022-2068 and CVE-2022-2097. - `binutils` update to version 2.34. - `busybox` update to version 1.33.1. - `curl` update to version 7.83.1. - `dnsmasq` update to version 2.85. - `dropbear` update to version 2020.81. - `gcc` update to version 8.4.0. - `glibc` update to version 2.33. - `hostapd` update to version 2020-06-08. - `mac80211` update to version 5.10.110-1. - `musl` update to version libc 1.1.24. - `travelmate` update to version 2.0.7-2. - `wireless-regdb` update to version 2022.08.12. - Further system-wide adjustments/optimisations. Security advisory: * SECURITY!!! - Update of the OpenSSL Version to fix CVE-2022-1292, CVE-2022-2068 and CVE-2022-2097. - WLAN/WiFi update of `mac80211` and `cfg80211` to fix CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721 and CVE-2022-42722. ################################################################################