Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 51 replies
  • Subscribers 25 subscribers
  • Views 21297 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Update für OpenSSL

moddix
Hallo zusammen,

habt ihr das Update gemacht betreffend OpenSSL?

Infos:

Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL | heise Security

Sophos UTM v.9.201023
News
 - Official 9.2 GA Release - update from 9.200
 - Fix: OpenSSL vulnerability: TLS heartbeat read overrun (CVE-2014-0160)


This thread was automatically locked due to age.
  • 0 in reply to K.N.
     Die sogenannte Man-in-the-Middle-Attack? Und dazu die Zertifikate, die nicht in den CRLs stehen? Wieso heißt es eigentlich immer, die Zertifikate müssen getauscht werden und "wir" brauchen ein neues CSR dafür - aber fast nirgends steht, dass das alles sinnfrei ist, wenn der gleich Key genutzt wird! Hier geht man von der allgemeinen Annahme aus, dass die dafür genutzten Prozesse immer einen neuen Key generieren.  Meiner Meinung nach ist das ein Ereignis, das beweist, wir relevant Produkthaftung auch bei Software wird. Und damit meine ich nicht OpenSSL, sondern Sophos, F-Secure, Cisco etc.
      Wir raten jedem betroffenem Kunden nicht nur die eigentlichen Certs auszutauschen sondern natürlich auch die betroffenen CAs. Das steht auch in unserer Knowledgebase. CRLs sind eine tolle Idee nur hält sich in der Praxis niemand daran z. Bsp. die Browserhersteller.
  • 0 in reply to trollvottel
    1. Mir gefällt Deine Ausdrucksweise nicht.
    2. Mein Nickname lautet anders.
    3. QA hat ganz sicher nicht "gepennt" - Der SSL Client wurde geprüft und die gefixte Library ist enthalten. Check.
    4. Wann und wie wir eine Version anheben bleibt uns überlassen und ist nicht per se ein Problem nur weil die Vorgehensweise nicht Deiner Erwartung entspricht.
    5. Ich persönlich teile die Meinung, dass bei jedweder Änderung die Version in irgend einer Art angehoben werden sollte - Ganz generell.


    1. Mir gefällt auch vieles nicht, weine trotzdem nicht rum
    2. Ja, sorry Trollvottel.
    3. Hier gehen unsere Meinungen auseinander. Selbst wenn nur eine Library neu wäre, sollte das Paket eine neue Version-Nr. bekommen. Im aktualisierten Client sind ALLE Dateien neu , nicht nur die ssl.dll.
    4. Klar
    5. Du arbeitest für Astaro/Sophos. Wäre auch blöd , wenn du im Forum deines Arbeitgebers  was negatives äußerst. 

    Im normallfall ist es mir egal ob der Client Astaro oder Sophos heisst, auch die Version wäre mir egal. 

    Nur jetzt besteht Handlungsbedarf, und ich muss mich um rund 30 ASG/UTMs kümmern, wo sich die SSL VPN Userzahlen zwischen 3 und  120
    bewegen. Grob gerechnet rund 700 Clients.
    Dazu muss man noch die Clients rechnen, welche sich zusätzlich zum PC über iMac/Linux oder ein mobiles Gerät einwählen.
    (Die ganzen REDs/IpSEC Tunnel verdränge ich hier erstmal)

    Und jetzt kommst du, und sagts: alles kein Problem : im aktuellen Client ist alles gefixed.
    Und ich frage: welcher ist der aktuelle Client ? Ach 2.1 ?, den habe ich schon lange drauf. Nicht? , ich habe den falschen 2.1, weil das Datum der Dateien anders ist ?. 
    Und wie sieht es aus mit den mobilen Geräten bzw. Mac/Linux ?
    Wie siehts aus mit der CiscoVPn Implementierung in UTM.

    Sind alles noch offene Fragen, wo ich kein klares Statement von Sophos gefunden habe.

    Und da heute was neues mit SSL und Payload gefunden wurde, frage ich mich ob ich noch 2 Wochen warten soll, bis alles gefixed ist.
  • 0
    Hallo zusammen,

    bisschen Action gibt's hier Stichwort Bullrun:

    Der "Heartbleed"-Bug und die NSA - fm4.ORF.at

    Würde mich freuen über Kommentare...........

    [:D]
  • 0 in reply to moddix
    Hallo zusammen,

    bisschen Action gibt's hier Stichwort Bullrun:

    Der "Heartbleed"-Bug und die NSA - fm4.ORF.at

    Würde mich freuen über Kommentare...........

    [:D]


    Ich fahre meine Kisten alle runter! [:(]
  • 0 in reply to gkemter
    1. Mir gefällt auch vieles nicht, weine trotzdem nicht rum
    2. Ja, sorry Trollvottel.
    3. Hier gehen unsere Meinungen auseinander. Selbst wenn nur eine Library neu wäre, sollte das Paket eine neue Version-Nr. bekommen. Im aktualisierten Client sind ALLE Dateien neu , nicht nur die ssl.dll.
    4. Klar
    5. Du arbeitest für Astaro/Sophos. Wäre auch blöd , wenn du im Forum deines Arbeitgebers  was negatives äußerst. 


    1.
    Der Vorteil bei persönlichem Kontakt ist, man kann deutlich besser erkennen, was der Gegenüber meint bzw. sagen will. In geschriebener Form, ist das häufig sehr schwer.

    3.
    Ich beziehe mich mal auf diesen Punkt und auch auf die Beschreibung.
    Welche Gründe gegen eine Anhebung der Version sprechen, weiß ich nicht und wir haben auch dasselbe Problem.

    Unter Programme wird der Client unter: Sophos SSL VPN Client 2.1 geführt

    In den Logs steht:
    Tue Apr 15 11:48:36 2014 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Apr  9 2014 

    Leider kann man das nur anhand der Log Einträge und des built Datums prüfen.
    Dem kann ich zustimmt, dass das nicht sehr schön ist. Und uns geht es da ähnlich. Problem was da hinzu kommt, dass wir nicht wissen, wo überall dieser Client installiert wurde und genutzt wird. Unglaublich schwer, dafür eine Lösung zu finden, dass man alle Clients erwischt.

    5.
    Natürlich darf man auch negative Kritik auch den Arbeitgeber außern und auch hier im Forum schreiben.
    Was hier auch viele machen (p.s. ich arbeite nicht bei Sophos [[;)]] ). Allerdings konstruktiv und sachlich, also so, wie man Kritik äußern sollte.
    Bei vielen wird Kritik nur durch nörgeln geäußert. Wenn dann darauf eingegangen wird, wird es echt häufig persönlich genommen.
    Wenn etwas Sc*** läuft oder ist... auch wenn ich ein Schleifchen drum mache, es bleibt Sc***!
    Man muss nicht alles verteidigen und Fehler können eingestanden werden, wenn es Fehler sind. Wenn es sachliche Gründe gibt, dann sollte man die auch ernsthaft durchlesen.
    Fehler dürfen natürlich nicht passieren, sie werden aber gemacht und das ist Fakt (lassen sich bei so etwas komplexen gar nicht vermeiden), aber der Umgang mit diesen Fehlern, das ist die Kunst und ich glaube, wenn man mal zurückblickend schaut, hat sich doch hier einiges getan.
    Fehlerquote ist doch gesunken und die Reaktionszeit ist gestiegen.

    Die generelle Informationspolitik via Forum und im Blog... kann man sich drüber streiten, aber hat eher was für Zielgruppe: Home User und nicht Big Business [[;)]]

    Und ja, dafür, dass es die größte Sicherheitslücke ist, die es in den letzten Jahren gegeben hat, wurde nicht sofort proaktiv auf die Kunden/Partner zugegangen, also man hat es durch Presse erfahren.
    Informationen gab es, man muss wissen, wo man zu suchen hat. Das ist für den Endkunden nicht schön, aber dafür gibt es ja auch Partner, welche den ganzen lieben langen Tag nix anderes machen, als sich damit beschäftigen.

    Aber telefonisch bekommt man vom Support auch immer sehr viel Informationen.
    Status zu Updates, welche Lösungen ungefähr fertig werden etc. etc. etc.
    Es Programmierer und keine Zauberer und ich unterstelle jetzt mal, dass die ihr Bestes im Sinne der Kunden geben. Wenn die das nicht tun würden, würde es Astaro/Sophos nicht mehr geben.
    Auch hier, schnelle Reaktion, die Fehlerfrei sein muss... beißt sich bisschen, wenn man nicht viel Zeit zum testen haben darf. Auch wenn es um so eine unglaublich kritische Sache handelt. Was ist da wichtiger?

    Nice greetings
  • 0 in reply to GMF
    Ich hab die Security erhöht:


    Und das mit einer extremen Reaktionszeit [:D]

    Nice greetings
  • 0 in reply to GuyFawkes
    Ich lasse den 2.1 Client jetzt in Ruhe, auch wenn eine eindeutige Version besser wäre, aber egal.

    Ich habe an einer anderen Stelle noch Bauchschmerzen, und habe nichts 
    beruhigendes im Forum gefunden.

    Wir verwenden zur Administration der UTMs, den SUM in aktuellen Version.
    Da hier nach dem Einbinden einer neuer UTM , vieles im Hintergrund passiert, ist da so eine Blackbox.
    Bei Einbinden wird in UTM neuer AdminUser + Password erstellt für den Zugriff.

    Heute habe ich bei 2 UTMs die CAs regeneriert und die Zerts nach Anleitung neu erstellt.
    Hier hätte ich erwartet, daß die beiden UTMs aus SUM rausfliegen, weil die Zertifikate neu sind, aber hier blieb alles unverändert.
    Alls wäre nichts passiert....

    Tauscht man bei Kunden eine UTM aus gegen neue und spielt Backup ein, dann merkt SUM es als neues Gerät.

    Müsste SUM den CA Tausch auch merken ?
  • 0 in reply to gkemter
    Moin,

    ich habe noch eine Frage zu den RSA Keys die wir für die Site 2 Site Verbindung nutzen.

    in dem KB-Artikel wird ja nur erwähnt das die SSL Zertifikate neu generiert werden sollen.
    Was ist aber mit den RSA Keys oder den Preshared Keys? die müssten doch genau auszulesen zu sein und müssen somit ausgetauscht werden.

    Ich bin irritiert das dadrüber nichts im Artikel erwähnt wird.
    Oder bin ich da auf dem Holzweg?

    Viele Grüße aus Hamburg
  • 0 in reply to FBag
    Moin,
    Was ist aber mit den RSA Keys oder den Preshared Keys? die müssten doch genau auszulesen zu sein und müssen somit ausgetauscht werden.


    RSA Keys für Site-To-Site VPN mit IPSec Verbindungen sind nicht durch die Heartbleed Attacke auslesbar gewesen. Da sie nicht mit dem betreffenden OpenSSL Code in Berührung kamen.