Updated 2024-01 with c revision

content/posts/2024/release-2024-01/index.de.md

@@ -1,6 +1,6 @@
 ---
-title: "🦾6️⃣4️⃣ 🐄 Janmuhary 2024 Update | Das Multiarch (x86 + ARM64) & Performance Update - Revision B"
-date: 2024-01-22T11:19:02+02:00
+title: "🦾6️⃣4️⃣ 🐄 Janmuhary 2024 Update | Das Multiarch (x86 + ARM64) & Performance Update - Revision C"
+date: 2024-02-02T11:19:02+02:00
 draft: false
 
 author: Niklas Meyer/DerLinkman
@@ -9,14 +9,47 @@ toc: true
 
 license: ""
 
-tags: ["2024", "update", "changelog", "ARM64", "major"]
+tags: ["2024", "update", "changelog", "ARM64", "major", "sicherheit"]
 categories: ["Updates"]
 
 featuredImage: "/images/2024/January/release-arm64.jpg"
 featuredImagePreview: "/images/2024/January/release-arm64.jpg"
 
 ---
 
+## 2024-01c (Release vom 02.02.2024)
+
+{{< admonition type=warning title="Wichtig" open=true >}}
+
+Dieses Update enthält eine Sicherheitsbehebung, so dass wir allen Benutzern dringend empfehlen, auf diese neueste Version zu aktualisieren, um die Sicherheit ihrer Systeme zu gewährleisten. Benutzer, die nicht aktualisieren können und ihr System mit potenziellen Angreifern im selben Netzwerk teilen, wie z. B. bei einigen Hosting-Anbietern, sollten die folgende iptables/nftables-Regel anwenden:
+
+<!--more-->
+
+iptables:
+```
+iptables -I DOCKER-USER ! -i br-mailcow -o br-mailcow -p tcp -m multiport --dport 3306,6379,8983,12345 -j DROP
+```
+
+nftables:
+```
+nft insert rule ip "filter" "DOCKER-USER" iifname != "br-mailcow" oifname "br-mailcow" tcp dport {3306, 6379, 8983, 12345} counter packets 0 bytes 0 drop
+```
+
+{{< /admonition >}}
+
+Was sich sonst noch so getan hat:
+
++ Es wurde ein SOGo Bug gefixt, welcher die ACL "Authentifizierte Benutzer" nicht mehr angezeigt hatte.
++ Die Postscreen Access Liste wurde aktualisiert.
+
+Für den neuen Sicherheitsfix wurde bereits eine CVE vergeben.
+
+Der letzte Sicherheitsfix hat die CVE 2024-23824. Hier noch einmal die Seite dazu: https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-45rv-3c5p-w4h7
+
+Für die neue Sicherheitslücke haben wir ebenfalls eine CVE beantragt, den Report könnt ihr aber hier lesen: https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-gmpj-5xcm-xxx6
+
+---
+
 ## 2024-01b (Release vom 22.01.2024)
 
 + Wir haben die von einem cURL Submodul Bug geplagten Container (phpfpm, unbound, watchdog & acme) in ihrer Alpine Version von 3.19 auf 3.18 downgraded. Dies sollte die Notwendigkeit des Workarounds ([siehe hier](https://twitter.com/mailcow_email/status/1747880630317101556)) obsolet machen. Wir werden auf Alpine 3.19 in diesen Containern (wahrscheinlich) im 2024-02 Update zurück kommen (vorausgesetzt der Bug ist dann behoben).
@@ -42,8 +75,6 @@ featuredImagePreview: "/images/2024/January/release-arm64.jpg"
 
 Wir hoffen ihr hattet einen guten Start in das noch junge 2024. Wie bereits im vorfeld auf Social Media (X/Twitter: [@mailcow_email](https://x.com/mailcow_email), Mastodon: [@doncow@mailcow.social](https://mailcow.social/@doncow)) angekündigt erscheint heute endlich das lang ersehnte ARM64 bzw. Multiarch Update worauf wir langezeit mit höhen und tiefen hingearbeitet haben.
 
-<!--more-->
-
 Um die Frage direkt im vorfeld zu klären: Ändern tut sich für alle bestehenden mailcow Installationen nichts (zumindest nicht geplant). Dieses Update läuft ebenfalls wie alle bisherigen Updates ab ohne manuelle Anpassungen eurerseits. mailcow bleibt im Umfang genauso wie bisher auch, nur, dass wir ab heute auch eine neue Nutzerschaft willkommen heißen können: **die ARM64 User**.
 
 Falls ihr neu dabei seid: "Hallo 👋, schön dass ihr hier seid!".

content/posts/2024/release-2024-01/index.en.md

@@ -1,6 +1,6 @@
 ---
-title: "🦾6️⃣4️⃣ 🐄 Janmooary 2024 Update | The Multiarch (x86 + ARM64) & Performance Update - Revision B"
-date: 2024-01-22T11:19:02+02:00
+title: "🦾6️⃣4️⃣ 🐄 Janmooary 2024 Update | The Multiarch (x86 + ARM64) & Performance Update - Revision C"
+date: 2024-02-02T11:19:02+02:00
 draft: false
 
 author: Niklas Meyer/DerLinkman
@@ -9,14 +9,48 @@ toc: true
 
 license: ""
 
-tags: ["2024", "update", "changelog", "ARM64", "major"]
+tags: ["2024", "update", "changelog", "ARM64", "major", "security"]
 categories: ["Updates"]
 
 featuredImage: "/images/2024/January/release-arm64.jpg"
 featuredImagePreview: "/images/2024/January/release-arm64.jpg"
 
 ---
 
+## 2024-01c (Release: 2nd February 2024)
+
+{{< admonition type=warning title="Important" open=true >}}
+
+This update includes a security fix, so we highly recommend that all users upgrade to this latest version to ensure the security of their systems. Users who are unable to update and share their system with potential attackers on the same network, such as with some hosting providers, should apply the following iptables/nftables rule:
+
+<!--more-->
+
+iptables:
+
+```
+iptables -I DOCKER-USER ! -i br-mailcow -o br-mailcow -p tcp -m multiport --dport 3306,6379,8983,12345 -j DROP
+```
+
+nftables:
+```
+nft insert rule ip "filter" "DOCKER-USER" iifname != "br-mailcow" oifname "br-mailcow" tcp dport {3306, 6379, 8983, 12345} counter packets 0 bytes 0 drop
+```
+
+{{< /admonition >}}
+
+What else changed:
+
++ Fixed a SOGo bug that caused the ACL "Authenticated users" to no longer be displayed.
++ The postscreen access list has been updated.
+
+A CVE has already been assigned for the new security fix.
+
+The last security fix has the CVE 2024-23824. Here is the page again: https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-45rv-3c5p-w4h7
+
+We have also requested a CVE for the new vulnerability, but you can read the report here: https://github.com/mailcow/mailcow-dockerized/security/advisories/GHSA-gmpj-5xcm-xxx6
+
+---
+
 ## 2024-01b (Release: 22th January 2024)
 
 + We have downgraded the containers affected by a cURL submodule bug (phpfpm, unbound, watchdog & acme) in their Alpine version from 3.19 to 3.18. This should eliminate the need for the workaround ([see](https://twitter.com/mailcow_email/status/1747880630317101556)). We will (probably) revert to Alpine 3.19 in these containers in the 2024-02 update (assuming the bug is fixed then)