Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 51 replies
  • Subscribers 25 subscribers
  • Views 21309 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Update für OpenSSL

moddix
Hallo zusammen,

habt ihr das Update gemacht betreffend OpenSSL?

Infos:

Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL | heise Security

Sophos UTM v.9.201023
News
 - Official 9.2 GA Release - update from 9.200
 - Fix: OpenSSL vulnerability: TLS heartbeat read overrun (CVE-2014-0160)


This thread was automatically locked due to age.
Parents
  • 0 in reply to GMF
    Ich hab die Security erhöht:


    Und das mit einer extremen Reaktionszeit [:D]

    Nice greetings
  • 0 in reply to GuyFawkes
    Ich lasse den 2.1 Client jetzt in Ruhe, auch wenn eine eindeutige Version besser wäre, aber egal.

    Ich habe an einer anderen Stelle noch Bauchschmerzen, und habe nichts 
    beruhigendes im Forum gefunden.

    Wir verwenden zur Administration der UTMs, den SUM in aktuellen Version.
    Da hier nach dem Einbinden einer neuer UTM , vieles im Hintergrund passiert, ist da so eine Blackbox.
    Bei Einbinden wird in UTM neuer AdminUser + Password erstellt für den Zugriff.

    Heute habe ich bei 2 UTMs die CAs regeneriert und die Zerts nach Anleitung neu erstellt.
    Hier hätte ich erwartet, daß die beiden UTMs aus SUM rausfliegen, weil die Zertifikate neu sind, aber hier blieb alles unverändert.
    Alls wäre nichts passiert....

    Tauscht man bei Kunden eine UTM aus gegen neue und spielt Backup ein, dann merkt SUM es als neues Gerät.

    Müsste SUM den CA Tausch auch merken ?
  • 0 in reply to gkemter
    Moin,

    ich habe noch eine Frage zu den RSA Keys die wir für die Site 2 Site Verbindung nutzen.

    in dem KB-Artikel wird ja nur erwähnt das die SSL Zertifikate neu generiert werden sollen.
    Was ist aber mit den RSA Keys oder den Preshared Keys? die müssten doch genau auszulesen zu sein und müssen somit ausgetauscht werden.

    Ich bin irritiert das dadrüber nichts im Artikel erwähnt wird.
    Oder bin ich da auf dem Holzweg?

    Viele Grüße aus Hamburg
  • 0 in reply to FBag
    Moin,
    Was ist aber mit den RSA Keys oder den Preshared Keys? die müssten doch genau auszulesen zu sein und müssen somit ausgetauscht werden.


    RSA Keys für Site-To-Site VPN mit IPSec Verbindungen sind nicht durch die Heartbleed Attacke auslesbar gewesen. Da sie nicht mit dem betreffenden OpenSSL Code in Berührung kamen.
Reply
  • 0 in reply to FBag
    Moin,
    Was ist aber mit den RSA Keys oder den Preshared Keys? die müssten doch genau auszulesen zu sein und müssen somit ausgetauscht werden.


    RSA Keys für Site-To-Site VPN mit IPSec Verbindungen sind nicht durch die Heartbleed Attacke auslesbar gewesen. Da sie nicht mit dem betreffenden OpenSSL Code in Berührung kamen.
Children
No Data