Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 2074 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Serious] UTM Not Vulnerable Itself

TuxBrother
Link.

Williams investigated products from some of the leading security vendors, including Symantec, Sophos, Trend Micro, Cisco, Barracuda, McAfee and Citrix. Some were analyzed as part of penetration tests, some as part of product evaluations for customers, and others in his spare time.


The interfaces of almost all tested security appliances had no protection against brute-force password cracking and had cross-site scripting flaws that allowed session hijacking.


I think this is serious? Can please someone from the devs take a look at it? Also, a PDF with more details is included in the source.


This thread was automatically locked due to age.
Parents
  • 0
    Bill, I thought it was interesting that Sophos, Symantec and Citrix responded quickly and correctly, but that pfSense and Trend took no action.  Since Sophos and the NCC Group are both English companies, I would have expected them to communicate very effectively, but their response is reassuring.

    As for the Sophos issue, I was interested in the capture of the SSH key by CSRF of an email release from quarantine.  We all know not to click on unrequested links, but I didn't know that this type of Forgery was possible.

    I dunno, Bill, maybe you don't like him because he went to Mississippi State? [:D]

    Cheers - Bob
  • 0 in reply to BAlfson
    Bill, I thought it was interesting that Sophos, Symantec and Citrix responded quickly and correctly, but that pfSense and Trend took no action. 

    Because people at pfsense know that it takes a little more brain power than a bozo to configure pfsense[:P]  Just kidding[[[:D]]][[[:D]]]

     As for the Sophos issue, I was interested in the capture of the SSH key by CSRF of an email release from quarantine.  We all know not to click on unrequested links, but I didn't know that this type of Forgery was possible.
     You are right but I was so turned off by the initial novice presentation that I couldn't stay engaged long enough to find the good stuff that you are pointing out.

    I dunno, Bill, maybe you don't like him because he went to Mississippi State? [[[:D]]]
    Didn't know that but you would be proud to know that I am a big sooners fan. 

    Good to see you in good spirits,
    Best Regards
    Bill
Reply
  • 0 in reply to BAlfson
    Bill, I thought it was interesting that Sophos, Symantec and Citrix responded quickly and correctly, but that pfSense and Trend took no action. 

    Because people at pfsense know that it takes a little more brain power than a bozo to configure pfsense[:P]  Just kidding[[[:D]]][[[:D]]]

     As for the Sophos issue, I was interested in the capture of the SSH key by CSRF of an email release from quarantine.  We all know not to click on unrequested links, but I didn't know that this type of Forgery was possible.
     You are right but I was so turned off by the initial novice presentation that I couldn't stay engaged long enough to find the good stuff that you are pointing out.

    I dunno, Bill, maybe you don't like him because he went to Mississippi State? [[[:D]]]
    Didn't know that but you would be proud to know that I am a big sooners fan. 

    Good to see you in good spirits,
    Best Regards
    Bill
Children
No Data