История версий системного ПО

Изменения в версии 1.5.1.14:

• Устранены уязвимости криптобиблиотеки OpenSSL (CVE-2015-0209, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0292), которые могли приводить к падению приложений и отказу в обслуживании;
• Устранена уязвимость библиотеки определения типа файла (CVE-2014-9653), которая могла привести к отказу в обслуживании;
• Устранены уязвимости встроенного антивируса ClamAV (CVE-2015-1461, CVE-2015-1462, CVE-2015-1463, CVE-2014-9328), которые могли привести к отказу в обслуживании и падению сервиса;
• Устранена потенциальная проблема большого времени фиксации конфигурации межсетевого экрана и времени исполнения эксплуатационных команд межсетевого экрана из-за ошибок разрешения имен DNS;
• Устранена проблема запуска встроенного антивируса Касперского при смене типа используемого антивируса в фильтре почты;
• Исправлена потенциальная неработоспособность синхронизации времени по NTP при получении адреса IPv6 сервера после разрешения его имени.

Изменения в версии 1.5.0.22:

• Устранены уязвимости криптобиблиотеки OpenSSL (CVE-2015-0209, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0292), которые могли приводить к падению приложений и отказу в обслуживании;
• Устранена уязвимость библиотеки определения типа файла (CVE-2014-9653), которая могла привести к отказу в обслуживании;
• Устранены уязвимости встроенного антивируса ClamAV (CVE-2015-1461, CVE-2015-1462, CVE-2015-1463, CVE-2014-9328), которые могли привести к отказу в обслуживании и падению сервиса;
• Исправлена ошибочная фиксация некорректной конфигурации статического интерфейсного маршрута (в ветке 1.5.1 проблема отсутствует).

Изменения в версии 1.0 14:14:14:

• Устранены уязвимости криптобиблиотеки OpenSSL (CVE-2015-0209, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0292), которые могли приводить к падению приложений и отказу в обслуживании.

Изменения в версии 1.5.1.13:

• Устранены уязвимости криптобиблиотеки OpenSSL (CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2015-0204, CVE-2015-0206);
• Исправлена ошибка обработки настроек, которая могла приводить к сохранению противоречивой конфигурации для статической маршрутизации;
• Обновлено ядро Kaspersky Antivirus & Antispam, что привело к улучшению качества антивирусной фильтрации и точности определения спама;
• Устранены проблемы настройки виртуальных сетей поверх агрегированных соединений при отсутствии в агрегированном интерфейсе физических интерфейсов;
• Устранены проблемы удаления агрегированного интерфейса при одновременном изменении входящих в него туннелей;
• Улучшено журналирование фильтра протокола SMTP;
• Исправлена проблема фиксации корректных политик обработки трафика после первичной неудачной фиксации некорректной политики;
• Исправлена работоспособность настройки spam_threshold для Kaspersky Antispam;
• Исправлена проверка корректности задания флагов протокола TCP в фильтрах;
• Небольшие улучшения вывода ошибок в разных модулях.

Изменения в версии 1.5.0.21:

• Устранены уязвимости криптобиблиотеки OpenSSL (CVE-2014-3570, CVE-2014-3572, CVE-2015-0204);
• Исправлена ошибка обработки настроек, которая могла приводить к сохранению противоречивой конфигурации для статической маршрутизации;
• Обновлено ядро Kaspersky Antivirus & Antispam, что привело к улучшению качества антивирусной фильтрации и точности определения спама.

Изменения в версии 1.0 13:13:13:

• Устранены уязвимости криптобиблиотеки OpenSSL (CVE-2014-3570, CVE-2014-3572, CVE-2015-0204).

Изменения в версии 1.5.1.12:

• Устранена уязвимость сервера OpenVPN (CVE-2014-8104), позволяющая вызывать DoS-атаку;
• Исправлена некорректная обработка параметров эксплуатации команд маршрутизации, которая позволяла оператору, не обладающему административными привилегиями, изменять параметры устройства;
• Исправлена некорректная обработка параметров эксплуатационных команд отображения системного журнала, которая позволяла оператору исполнять произвольные параметры в системе;
• Устранены уязвимости IDS/IPS (CVE-2014-3710, CVE-2014-8116, CVE-2014-8117), которые могли привести к реализации DoS-атак;
• Устранены уязвимости антивируса ClamAV (CVE-2013-6497, CVE-2014-9050), которые могли привести к реализации DoS-атак;
• Устранено некорректное поведение устройства при одновременной настройке протоколов динамической маршрутизации и сервиса SNMP без сохранения такой конфигурации;
• Устранена возможная неработоспособность Kaspersky Antispam после 29 ноября 2014 года;
• Исправлена возможность исполнения произвольного кода при импорте специально подготовленного сертификата;
• Исправлена проблема загрузки конфигурации с использованием агрегированных интерфейсов OpenVPN в мостах;
• Исправлена потенциальная неработоспособность системы настройки (до перезагрузки) на NEO 100 при выполнении большого объёма настроек;
• Изменено поведение политик и межсетевого экрана применительно к виртуальным интерфейсам VRRP. Теперь при использовании режима совместимости с RFC 3768 политики и межсетевой экран наследуются от родительского интерфейса;
• Исправлено отсутствие журнальных записей для некоторых сигнатур IDS/IPS. Добавлена реальная поддержка действия «sdrop» в настройках IDS/IPS (ранее действие «sdrop» было полностью аналогично действию «drop»). Теперь действие «sdrop» работает так, как изначально задумывалось — отбрасывает пакеты без записи событий в журнал;
• Исправлена проблема невозможности удаления интерфейса OpenVPN из агрегированного канала, возникавшая в некоторых случаях;
• Исправлено поведение эксплуатационных команд «release dhcp» и «renew dhcp»;
• Исправлена невозможность настройки политики модификации DSCP при использовании шестнадцатеричной формы записи целевого значения DSCP;
• Добавлена проверка наличия необходимого объёма памяти для запуска сервиса веб-фильтра, а также потенциальные проблемы запуска сервиса в проблемных конфигурациях;
• Исправлено некорректное журналирование сообщений с содержащимися внутри переводами строк (что проявлялось, например, при настройке отладочного вывода сервиса IPSec);
• Отключен запуск демона протокола маршрутизации ISIS, так как он не настраивается штатными средствами;
• Исправлены подсказки и синтаксические проверки параметров настройки политик клонирования и NAT.

Изменения в версии 1.5.0.20:

• Устранена уязвимость сервера OpenVPN (CVE-2014-8104), позволяющая вызывать DoS-атаку;
• Исправлена некорректная обработка параметров эксплуатации команд маршрутизации, которая позволяла оператору, не обладающему административными привилегиями, изменять параметры устройства;
• Исправлена некорректная обработка параметров эксплуатационных команд отображения системного журнала, которая позволяла оператору исполнять произвольные параметры в системе;
• Устранены уязвимости IDS/IPS (CVE-2014-3710, CVE-2014-8116, CVE-2014-8117), которые могли привести к реализации DoS-атак;
• Устранены уязвимости антивируса ClamAV (CVE-2013-6497, CVE-2014-9050), которые могли привести к реализации DoS-атак;
• Устранено некорректное поведение устройства при одновременной настройке протоколов динамической маршрутизации и сервиса SNMP без сохранения такой конфигурации;
• Устранена возможная неработоспособность Kaspersky Antispam после 29 ноября 2014 года.

Изменения в версии 1.0 12:12:12:

• Устранена уязвимость сервера OpenVPN (CVE-2014-8104), позволяющая вызывать DoS-атаку;
• Исправлена некорректная обработка параметров эксплуатации команд маршрутизации, которая позволяла оператору, не обладающему административными привилегиями, изменять параметры устройства;
• Исправлена некорректная обработка параметров эксплуатационных команд отображения системного журнала, которая позволяла оператору исполнять произвольные параметры в системе.

Изменения в версии 1.5.1.11:

• Устранены уязвимости в командной оболочке bash (CVE-2014-6277 и CVE-2014-6278);
• Устранены уязвимости криптобиблиотеки OpenSSL (CVE-2014-3567, CVE-2014-3513 и CVE-2013-6450), позволяющие проводить DoS-атаки;
• Обновлены данные часовых поясов в связи с переходом на постоянное зимнее время;
• Запрещено выполнение команды "show configuration cmds" оператором, т. к. она предоставляет излишние для него данные;
• Устранена уязвимость IDS/IPS (CVE-2013-5919), позволяющая проводить DoS-атаку;
• Устранена уязвимость в веб-фильтре (CVE-2014-6270);
• Значительно улучшена совместимость подсистемы PKI со сторонними удостоверяющими центрами. Решены проблемы в механизме импорта/экспорта ключей и сертификатов, а также связанные с обновлением CRL (всего 9 проблем);
• Устранена проблема использования шифрования cast128 в туннелях IPSec;
• Устранена потенциальная проблема невозможности загрузки клиентов по сети с использованием TFTP при настройке выдачи параметров загрузки внутренним сервером DHCP;
• Реализованы небольшие косметические улучшения веб-интерфейса.

Изменения в версии 1.5.0.19:

• Устранены уязвимости в командной оболочке bash (CVE-2014-6277 и CVE-2014-6278);
• Устранена уязвимость криптобиблиотеки OpenSSL (CVE-2014-3567), позволяющая проводить DoS-атаку;
• Обновлены данные часовых поясов в связи с переходом на постоянное зимнее время;
• Запрещено выполнение команды "show configuration cmds" оператором, т. к. она предоставляет излишние для него данные;
• Устранена уязвимость IDS/IPS (CVE-2013-5919), позволяющая проводить DoS-атаку.

Изменения в версии 1.0 11:11:11:

• Устранены уязвимости в командной оболочке bash (CVE-2014-6277 и CVE-2014-6278);
• Устранена уязвимость криптобиблиотеки OpenSSL (CVE-2014-3567), позволяющая проводить DoS-атаку;
• Обновлены данные часовых поясов в связи с переходом на постоянное зимнее время;
• Запрещено выполнение команды "show configuration cmds" оператором, т. к. она предоставляет излишние для него данные.

Изменения в версии 1.5.1.10:

• Полностью устранены уязвимости в командной оболочке bash (так называемый ShellShock, уязвимости CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 и CVE-2014-7187);
• Применены известные на сегодня меры по предотвращению эксплуатации CVE-2014-6277 и CVE-2014-6278 (полностью эти проблемы не устранены, поскольку детали уязвимостей до сих пор не опубликованы);
• Устранены уязвимости для определения типа файла (CVE-2014-0207, CVE-2014-0237, CVE-2014-0238, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-3538, CVE-2014-3587), позволяющие проводить DoS-атаки;
• Исправлена обработка параметра настройки фильтрации межсетевого экрана по шестнадцатеричным подстрокам;
• Добавлена поддержка формата DER для импорта сертификатов.

Изменения в версии 1.5.0.18:

• Полностью устранены уязвимости в командной оболочке bash (так называемый ShellShock, уязвимости CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 и CVE-2014-7187);
• Применены известные на сегодня меры по предотвращению эксплуатации CVE-2014-6277 и CVE-2014-6278 (полностью эти проблемы не устранены, поскольку детали уязвимостей до сих пор не опубликованы);
• Устранены уязвимости для определения типа файла (CVE-2014-0207, CVE-2014-0237, CVE-2014-0238, CVE-2014-3478, CVE-2014-3479, CVE-2014-3480, CVE-2014-3487, CVE-2014-3538, CVE-2014-3587), позволяющие проводить DoS-атаки.

Изменения в версии 1.0 10:10:10:

• Полностью устранены уязвимости в командной оболочке bash (так называемый ShellShock, уязвимости CVE-2014-6271, CVE-2014-7169, CVE-2014-7186 и CVE-2014-7187);
• Применены известные на сегодня меры по предотвращению эксплуатации CVE-2014-6277 и CVE-2014-6278 (полностью эти проблемы не устранены, поскольку детали уязвимостей до сих пор не опубликованы).

Изменения в версии 1.5.1.9:

• Устранены уязвимости криптобиблиотеки OpenSSL (CVE-2014-3508, CVE-2014-3509, CVE-2014-5139 и CVE-2014-3511);
• Устранена критическая уязвимость сервиса веб-фильтра (CVE-2014-3609), эксплуатация которой может привести к отказу в обслуживании;
• Исправлена ошибка, блокирующая возможность настройки параметров аутентификации IPSec через веб-интерфейс;
• Ослаблено ограничение на количество интерфейсов, входящих в группу многоадресной передачи. Данное ограничение, например, напрямую влияет на возможное количество интерфейсов, используемых протоколом OSPF (ранее ограничение было на уровне 20, в новых версиях оно составляет 256);
• Устранены уязвимости протокола DTLS в криптобиблиотеке (CVE-2014-3505, CVE-2014-3506, CVE-2014-3507, CVE-2014-3510);
• Обновлен дизайн веб-интерфейса;
• Обновлен BIOS;
• Добавлена поддержка внешнего 3G модема (USB);
• Устранена проблема с невозможностью настройки IPS на интерфейсах VLAN;
• Устранена проблема в прохождении трафика, которая могла возникать при отключении IPS;
• Устранена проблема с отсутствием восстановления работоспособности каналов при использовании балансировки нагрузки после одновременного отказа всех настроенных каналов;
• Устранена проблема с невозможностью настройки NetFlow/Sflow на виртуальных интерфейсах VRRP;
• Решены несущественные проблемы, связанные с настройками комплекса (DNS и DHCP, туннельные интерфейсы, NTP, параметр recent count в МЭ, параметр expiration в PKI).

Изменения в версии 1.5.0.17:

• Устранены уязвимости криптобиблиотеки OpenSSL (CVE-2014-3508, CVE-2014-3509, CVE-2014-5139 и CVE-2014-3511);
• Устранена критическая уязвимость сервиса веб-фильтра (CVE-2014-3609), эксплуатация которой может привести к отказу в обслуживании;
• Исправлена ошибка, блокирующая возможность настройки параметров аутентификации IPSec через веб-интерфейс;
• Ослаблено ограничение на количество интерфейсов, входящих в группу многоадресной передачи.

Изменения в версии 1.0 0f:0f:0f:

• Устранены уязвимости криптобиблиотеки OpenSSL (CVE-2014-3508 и CVE-2014-3509);
• Устранена критическая уязвимость сервиса веб-фильтра (CVE-2014-3609), эксплуатация которой может привести к отказу в обслуживании.

Изменения в версии 1.5.1.8:

• Исправлена ошибка библиотеки GnuTLS (CVE-2014-3466). Ошибка связана с недостаточной проверкой сессионных идентификаторов клиентом TLS во время процедуры согласования соединения и может привести к отказу в обслуживании или к исполнению произвольного кода. В NEO библиотеку GnuTLS использует только клиент обновлений, при этом эксплуатация уязвимости затруднена тем, что при падении клиента он не будет запущен вновь до перезагрузки или ручного перезапуска;
• Исправлены ошибки библиотеки libtasn1 (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Ошибки связаны с некорректным разбором формата ASN.1 и могут приводить к отказу в обслуживании. В NEO библиотека используется в составе GnuTLS;
• Исправлены ошибки библиотеки OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470). Наиболее критична уязвимость CVE-2014-0224, которая может привести к использованию слабых ключей для защиты соединения и атаке посредника. Уязвимости CVE-2014-0195 и CVE-2014-0221 актуальны только для протокола DTLS, который используется для защиты протокола CAPWAP. Уязвимость CVE-2014-3470 не должна влиять на штатное использование NEO;
• Исправлено использование системной библиотекой C предсказуемых идентификаторов в запросах протокола DNS;
• Исправлена проблема обработки больших списков псевдонимов доменных имён локальной базы узлов в системной библиотеке C. Проблема может приводить к отказу в обслуживании при попытке разрешения доменного имени любым приложением. Важно отметить, что проблема проявляется только при использовании локальной базы узлов, данные от удалённого сервера DNS обрабатываются корректно;
• Устранены возможные проблемы соединения с сервером AD для аутентификации NTLM при нахождении сервера AD за рамками непосредственно подключенных к NEO сетей;
• Исправлена ошибка загрузки конфигурации при использовании в фильтрах групп адресов МЭ;
• Исправлена ошибка загрузки конфигурации при специфичной настройке ретранслятора DNS на получение адресов серверов DNS по протоколу DHCP;
• Исправлено несколько несущественных проблем, связанных с проверкой согласованности и корректности входных данных при настройке, а также нюансами работы эксплуатационных команд;
• Добавлена поддержка IPMI для модели NEO 340.

Изменения в версии 1.5.0.16:

• Исправлена ошибка библиотеки GnuTLS (CVE-2014-3466). Ошибка связана с недостаточной проверкой сессионных идентификаторов клиентом TLS во время процедуры согласования соединения и может привести к отказу в обслуживании или к исполнению произвольного кода. В NEO библиотеку GnuTLS использует только клиент обновлений, при этом эксплуатация уязвимости затруднена тем, что при падении клиента он не будет запущен вновь до перезагрузки или ручного перезапуска;
• Исправлены ошибки библиотеки libtasn1 (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Ошибки связаны с некорректным разбором формата ASN.1 и могут приводить к отказу в обслуживании. В NEO библиотека используется в составе GnuTLS;
• Исправлены ошибки библиотеки OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470). Наиболее критична уязвимость CVE-2014-0224, которая может привести к использованию слабых ключей для защиты соединения и атаке посредника. Уязвимости CVE-2014-0195 и CVE-2014-0221 актуальны только для протокола DTLS, который используется для защиты протокола CAPWAP. Уязвимость CVE-2014-3470 не должна влиять на штатное использование NEO;
• Исправлено использование системной библиотекой C предсказуемых идентификаторов в запросах протокола DNS;
• Решена проблема обработки больших списков псевдонимов доменных имён локальной базы узлов в системной библиотеке C. Проблема может приводить к отказу в обслуживании при попытке разрешения доменного имени любым приложением. Важно отметить, что проблема проявляется только при использовании локальной базы узлов, данные от удалённого сервера DNS обрабатываются корректно;
• Устранены возможные проблемы соединения с сервером AD для аутентификации NTLM при нахождении сервера AD за рамками непосредственно подключенных к NEO сетей.

Изменения в версии 1.0 0e:0e:0e:

• Исправлена ошибка библиотеки GnuTLS (CVE-2014-3466). Ошибка связана с недостаточной проверкой сессионных идентификаторов клиентом TLS во время процедуры согласования соединения и может привести к отказу в обслуживании или к исполнению произвольного кода. В NEO библиотеку GnuTLS использует только клиент обновлений, при этом эксплуатация уязвимости затруднена тем, что при падении клиента он не будет запущен вновь до перезагрузки или ручного перезапуска;
• Исправлены ошибки библиотеки libtasn1 (CVE-2014-3467, CVE-2014-3468, CVE-2014-3469). Ошибки связаны с некорректным разбором формата ASN.1 и могут приводить к отказу в обслуживании. В NEO библиотека используется в составе GnuTLS;
• Исправлены ошибки библиотеки OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-3470). Наиболее критична уязвимость CVE-2014-0224, которая может привести к использованию слабых ключей для защиты соединения и атаке посредника. Уязвимости CVE-2014-0195 и CVE-2014-0221 актуальны только для протокола DTLS, который используется для защиты протокола CAPWAP. Уязвимость CVE-2014-3470 не должна влиять на штатное использование NEO;
• Исправлено использование системной библиотекой C предсказуемых идентификаторов в запросах протокола DNS.

Изменения в версии 1.5.1.7:

• Интегрирован новый BIOS для NEO 100;
• Исправлены уязвимости ClamAV (CVE-2013-2020, CVE-2013-2021, CVE-2013-7087, CVE-2013-7088, CVE-2013-7089);
• Исправлены уязвимости OpenSSL (CVE-2014-0198, CVE-2010-5298, CVE-2014-0076 и ошибка обработки TSA critical);
• Исправлена ошибка, приводящая к удалению межсетевого экрана, используемого в зональных настройках (zone policy);
• Исправлены проблемы с обработкой писем антиспамом под нагрузкой;
• исправлены еще 5 некритичных багов.

Изменения в версии 1.5.0.15:

• Исправлены уязвимости ClamAV (CVE-2013-2020, CVE-2013-2021, CVE-2013-7087, CVE 2013 7088, CVE-2013-7089);
• Исправлена уязвимость OpenSSL (CVE-2014-0198);
• Исправлено падение сервиса SNMP (аналогичное исправление для 1.5.1 было реализовано в предыдущих обновлениях).

Версия 1.5.1.6 / 1.5.0.14 / 1.0 0d:0d:0d Дата выхода 10.04.2014

Изменения в версии 1.5.1.6:

• Исправлена ошибка проверки сертификатов библиотекой GnuTLS (CVE-2014-0092);
• Устранена уязвимость криптобиблиотеки OpenSSL (CVE-2014-0160);
• Устранены уязвимости File (CVE-2014-2270, CVE-2014-1943);
• Улучшена работоспособность команды show bridge с параметром;
• Устранены уязвимости OpenSHH (CVE-2014-2270, CVE-2014-1943);
• Устранена уязвимость веб-фильра SQUID-2014:1 (CVE-2014-0128);
• Решены проблемы удаления зонального межсетевого экрана;
• Решены ещё несколько мелких проблем.

Изменения в версии 1.5.0.14:

• Исправлена ошибка проверки сертификатов библиотекой GnuTLS (CVE-2014-0092).
• Устранена уязвимость криптобиблиотеки OpenSSL (CVE-2014-0160);
• Устранены уязвимости File (CVE-2014-2270, CVE-2014-1943);
• Улучшена работоспособность команды show bridge с параметром.

Изменения в версии 1.0 0d:0d:0d:

• Исправлена ошибка проверки сертификатов библиотекой GnuTLS (CVE-2014-0092).

Изменения в версии 1.5.1.6:

• Исправлена ошибка проверки сертификатов библиотекой GnuTLS (CVE-2014-0092);
• Устранена уязвимость криптобиблиотеки OpenSSL (CVE-2014-0160);
• Устранены уязвимости File (CVE-2014-2270, CVE-2014-1943);
• Улучшена работоспособность команды show bridge с параметром;
• Устранены уязвимости OpenSHH (CVE-2014-2270, CVE-2014-1943);
• Устранена уязвимость веб-фильра SQUID-2014:1 (CVE-2014-0128);
• Решены проблемы удаления зонального межсетевого экрана;
• Решены ещё несколько мелких проблем.

Изменения в версии 1.5.0.14:

• Исправлена ошибка проверки сертификатов библиотекой GnuTLS (CVE-2014-0092).
• Устранена уязвимость криптобиблиотеки OpenSSL (CVE-2014-0160);
• Устранены уязвимости File (CVE-2014-2270, CVE-2014-1943);
• Улучшена работоспособность команды show bridge с параметром.

Изменения в версии 1.0 0d:0d:0d:

• Исправлена ошибка проверки сертификатов библиотекой GnuTLS (CVE-2014-0092).

Изменения в версии 1.5.1.5:

• Устранена возможность эскалации привилегий оператора до администратора при работе через веб-интерфейс
• Устранена возможность повторного использования идентификаторов сессии после "выхода" из веб-интерфейса
• Устранена невозможность задания и использования текстовых значений атрибутов со спецсимволами в вебе (вплоть до невозможности аутентифицироваться при вводе корректного пароля)
• обновлена библиотека XML, используемая веб-интерфейсом, что закрывает проблемы безопасности CVE-2012-1148, CVE-2012-1147, CVE-2012-0876, CVE-2009-3560 и CVE-2009-3270
• Устранена проблема безопасности в криптобиблиотеке OpenSSL (CVE-2013-4353)
• Устранена проблема, связанная с невозможностью использования команды clear log в определённых конфигурациях
• Решена проблема удаления настраиваемой конфигурации (в режиме настройки) при использовании команды show log idps
• Устранена ошибка обработки больших списков адресов и сетей в группах МЭ
• Решена проблема с падением сервиса SNMP
• Исправлена некорректная работа политики QoS rate-control
• Убрано ещё около десятка мелких багов

Изменения в версии 1.5.0.13:

• Устранена возможность эскалации привилегий оператора до администратора при работе через веб-интерфейс;
• Устранена возможность повторного использования идентификаторов сессии после "выхода" из веб-интерфейса;
• Устранена невозможность задания и использования текстовых значений атрибутов со спецсимволами в вебе (вплоть до невозможности аутентифицироваться при вводе корректного пароля);
• обновлена библиотека XML, используемая веб-интерфейсом, что закрывает проблемы безопасности CVE-2012-1148, CVE-2012-1147, CVE-2012-0876, CVE-2009-3560 и CVE-2009-3270;
• Устранена проблема безопасности в криптобиблиотеке OpenSSL (CVE-2013-4353);
• Устранена проблема, связанная с невозможностью использования команды clear log в определённых конфигурациях.

Изменения в версии 1.0 0c:0c:0c:

• Устранена возможность эскалации привилегий оператора до администратора при работе через веб-интерфейс;
• Устранена возможность повторного использования идентификаторов сессии после "выхода" из веб-интерфейса;
• Устранена невозможность задания и использования текстовых значений атрибутов со спецсимволами в вебе (вплоть до невозможности аутентифицироваться при вводе корректного пароля);
• обновлена библиотека XML, используемая веб-интерфейсом, что закрывает проблемы безопасности CVE-2012-1148, CVE-2012-1147, CVE-2012-0876, CVE-2009-3560 и CVE-2009-3270.

Изменения в версии 1.5.1.4:

• Устранены проблемы безопасности веб-сервера lighttpd (CVE-2013-4508, CVE-2013-4559, CVE-2013-4560);
• Устранена проблема с переустановкой соединения PPPoE
• Исправлено некорректное восстановление пользователей при ручной замене файла загрузочной конфигурации
• Устранена проблемы безопасности демона динамической маршрутизации Quagga (CVE-2013-2236, CVE-2013-6051)
• Решены проблемы с работоспособностью команд "debug ..." и несоответствие документации в части журналирования сервисов маршрутизации
• исправлена проблема старта OpenVPN при настройке на адресе VRRP
• Решена проблема с производительностью сервера PPTP
• Исправлена проблема с длительной фиксацией (до получаса) простейших настроек групп адресов и портов в МЭ
• Исправлена неработоспособность механизма random-detect в QoS
• Устранены несколько других мелких багов

Изменения в версии 1.5.0.12:

• Устранены проблемы безопасности веб-сервера lighttpd (CVE-2013-4508, CVE-2013-4559, CVE-2013-4560);
• Устранена проблема с переустановкой соединения PPPoE
• Исправлено некорректное восстановление пользователей при ручной замене файла загрузочной конфигурации
• Устранена проблемы безопасности демона динамической маршрутизации Quagga (CVE-2013-2236, CVE-2013-6051)
• Решены проблемы с работоспособностью команд "debug ..." и несоответствие документации в части журналирования сервисов маршрутизации
• Решена проблема старта сервиса SSH после перезагрузки при настроенном сервере L2TP
• Исправлена проблема исчезновения настройки серверов DNS при завершении клиентского соединения PPTP

Изменения в версии 1.0 0b:0b:0b:

• Устранена критическая ошибка в веб-интерфейсе
• Устранена потенциальная возможность подбора идентификатора аутентифицированного администратора в веб-интерфейсе

• Устранена утечка памяти при использовании BGP;
• Исправлена ошибка команды 'show nat translations' для вариантов ПО FW и VPN;
• Исправлены проблемы безопасности демона динамической маршрутизации Quagga (CVE-2013-2236, CVE-2013-6051);
• Исправлены проблемы безопасности веб-сервера lighttpd (CVE-2013-4508, CVE-2013-4559, CVE-2013-4560);
• Исправлена проблема использования SSL_OP_MICROSOFT_BIG_SSLV3_BUFFER в OpenSSL.

• Исправлена некорректная загрузка конфигурации при настроенном сервере L2TP
• Устранено ложное срабатывание вочдога при настроенном доступе через Telnet
• Устранена проблема с работоспособностью LDAP-ных правил МЭ
• Устранено двойное хэширование при включении AH в IPSec
• Исправлена ошибка проверки OCSP в случае, когда сервер не возвращает сертификат
• Добавлена проверка CRL в WTP
• Исправлена проверка OCSP в Wi-Fi
• Несколько незначительных исправлений

Изменения в версии 1.5.1.2:

• Решена проблема с аутентификацией через PKI в CAPWAP Wi-Fi;
• Решена проблема с проверкой CRL в CAPWAP Wi-Fi;
• Решена проблема с проверкой OCSP в Wi-Fi (как обычном, так и CAPWAP);
• Исправлена команда show bridge brX macs;
• Устранена ошибка ввода диапазона портов при задании port-group в МЭ;
• Добавлена возможность импорта CRL с сервера LDAP (при соответствующем CRLDP);
• Исправлена работоспособность виртуальных интерфейсов типа input (ifb);
• Устранена ошибка задания trap-target для SNMP;
• Устранено ещё около десятка незначительных ошибок.

Изменения в версии 1.5.0.11:

• Исправлена команда show bridge brX macs;
• Исправлена ошибка ручного применения серии обновлений.

Изменения в версии 1.5.1.2:

• Реализован набор изменений и улучшений для Wi-Fi, от незначительных до критичных;
• Исправлено и ускорено взаимодействие веб-прокси с антивирусами;
• Улучшена работоспособность IDS;
• Устранены проблемы настройки политик модификации трафика при задании некорректных параметров;
• Улучшена загрузка специфичных кластерных конфигураций;
• Устранены проблемы с перезапуском веб-фильтра на NEO 340;
• Добавлена фильтрация доменов punycode («.рф» и подобные локализованные) в веб-фильтре;
• Исправлена работоспособность веб-прокси на интерфейсах типа «точка-точка»;
• Устранена ошибка фиксации политики QoS shaper при использовании автоматического определения пропускной способности канала;
• Прочие незначительные исправления по VRRP, E1, QoS, OpenVPN.

Изменения в версии 1.5.0.11:

• Устранены проблемы с загрузкой определённых кластерных конфигураций, а также удаления кластерных ресурсов;
• Исправлено и ускорено взаимодействие веб-прокси с антивирусами;
• Исправлен перезапуск веб-прокси;
• Добавлена фильтрация доменов punycode («.рф» и подобные локализованные) в веб-фильтре;
• Улучшена работоспособность IDS;
• Улучшена работоспособность IPSec AH;
• Улучшена загрузка конфигурации с фильтром почты на VLAN-ах;
• Улучшена работоспособность веб-прокси на интерфейсах типа «точка-точка»;
• Прочие незначительные исправления.

• Реализован PBR (Policy-based routing);
• Реализованы серые списки в фильтре почты;
• Реализована поддержка ГОСТ 34.10-2012 и ГОСТ 34.11-2012 (кроме IPSec и токенов);
• Реализована поддержка E1 unframed;
• Реализован иерархический QoS;
• Добавлены существенно более гибкие фильтры для классификации трафика в QoS;
• Добавлена возможность использования пользователей и групп из LDAP в политиках фильтрации запросов веб-прокси;
• Добавлена поддержка CAPWAP Wi-Fi;
• Добавлена поддержка расширений x509v3 в PKI;
• Реализованы более гибкие возможности балансировки нагрузки;
• Реализован сервер NTP/SNTP;
• Добавлена поддержка сторожевого таймера.

• Исправлена проблема настройки и загрузки конфигурации кластерного OpenVPN;
• Исправлены некорректные требования к глубине очереди политики QoS random-detect.

Изменения в версии 1.5.0.8:

• Исправлена некорректная настройка сервиса DNS по умолчанию;
• Исправлено отсутствие по умолчанию копирования поля ToS в туннелях GRE;
• Исправлена проблема с невозможностью удаления маршрутов типа «чёрная дыра»;
• Решены проблемы с импортом сертификатов через scp:// ;
• Устранена неработоспособность команды отображения статуса QoS для политик входящего трафика.

Изменения в версии 1.0 09:09:09

• Исправлена некорректная настройка сервиса DNS по умолчанию;
• Исправлено отсутствие по умолчанию копирования поля ToS в туннелях GRE;
• Устранена необходимость перезапуска NEO при настройке кластера с IPSec.

• Устранена уязвимость в веб-прокси (SQUID-2012:1);
• Исправлена команда show bridge;
• Исправлено удаление статических маршрутов;
• Устранена проблема аутентификации хоста при экспорте сертификатов через scp://;
• Устранена проблема с удалением заданного в конфигурации MAC-адреса;
• Исправлена команда show bridge ... spanning-tree;
• Исправлено гашение интерфейса после удаления настройки адреса по DHCP;
• Добавлены подсказки в модуль настройки кластера;
• Добавлено восстановление базовых пользовательских файлов для интерфейса настройки, если они были удалены.

• Устранена системная проблема с многопоточными приложениями, которая в некоторых ситуациях приводила к падению приложений;
• Исправлена ошибка при запуске кластера;
• Устранена необходимость перезапуска системы для корректной работы кластера после настройки;
• Исправлен ошибочный вывод при загрузке конфигурации с новыми администраторами;
• Устранено отсутствие одной из многоядерных оптимизаций при настройке IPS через МЭ;
• Исправлено некорректное время для записей журнала Kaspersky Antivirus & Antispam;
• Исправлены мелкие ошибки в подсказках интерфейса и обработке удаления настройки моста, используемого в балансировке нагрузки;
• Существенно обновлен движок IDS/IPS.

Изменения в версии 1.5.0.5

• Устранена проблема с о сбоями в работе системного журнала
• Решена проблема некорректной идентификации вариаций NEO (FW/VPN/UTM)
• Устранены ошибки при переконфигурации антивируса в веб-прокси
• Решена проблема с ошибочным выводом при конфигурации МЭ в версиях FW и VPN
• Устранены некритичные ошибки при запуске сервиса NTP
• Устранены ошибки в выводе tech-support
• Реализовано удаление интерфейсов, участвующих в балансировке нагрузки
• Подправлены скрипты ротации журналов

Изменения в версии 1.0 08:08:08:

• Устранена проблема переконфигурации антивирусов в веб-прокси
• Исправлены некритичные ошибки при запуске сервиса NTP
• Устранены ошибки в выводе tech-support

Новые возможности:

• Поддержка интерфейсов типа Infiniband в моделях ALTELL NEO 200 и 310;
• Поддержка интерфейсов типа E1/T1 в моделях ALTELL NEO 110, 200 и 310;
• Поддержка программного RAID1 в моделях ALTELL NEO 200, 310 и 340;
• Поддержка OCSP и CDP в модуле PKI;
• Фильтрация трафика, защищенного TLS, в веб-фильтре (SSL-прокси).

Улучшения:

• Повышена защищенность системы (новые политики для сервисов);
• Повышена надежность системы (архитектурные изменения);
• Улучшена интероперабельность модуля PKI (дополнительные возможности экспорта и импорта);
• Расширены возможности настройки IDS/IPS;
• Расширены возможности журналирования IDS/IPS и запросов веб-фильтра (системный журнал, внешний MySQL);
• Расширены возможности настройки OpenVPN (bonding/маршрутизация/DNS).

Скоростные показатели:

• Кратно (в 2,5-4 раза, в зависимости от платформы) улучшены скоростные показатели IDS/IPS;
• Кратно (в 2-5 раз, в зависимости от платформы) улучшены скоростные показатели веб-фильтра на платформах ALTELL NEO 200 и 310;
• На 15-40 % выросла производительность межсетевого экрана в моделях ALTELL NEO 120, 200 и 310;
• На 10 % улучшена скорость работы всех типов VPN с шифрованием ГОСТ.