Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 158 replies
  • Subscribers 3 subscribers
  • Views 150879 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Timeline for patching SSL vulnerability (Heartbleed Bug)

strategicdata
Heatbleed Bug (CVE-2014-0160)

Hi

Is there any timeframe for patching this SSL/TLS bug for Astaro Security Gateway V8.
We are on the latest 8.311 (as V8 is an approved appliance for us and V9 is not).

Thanks


Heartbleed Bug
https://news.ycombinator.com/item?id=7548991


This thread was automatically locked due to age.
Parents
  • 0
    "Better to rush it out" is something I've seen way too many times from vendors over the years, Microsoft most famously. Then the patch to fix the vulnerability breaks something else and the vendor has to send out a patch to fix the patch.

    For my user base at least, I would rather have to cripple that one aspect of the system for a few days (till a proper patch is released) in response to a vulnerability then to risk a hastily applied patch breaking things beyond just the vulnerability. I can tolerate downing the SSL VPN subsystem for a few days to a week, I can't risk a patch breaking my UTM and crippling close to a dozen offices in one go.
Reply
  • 0
    "Better to rush it out" is something I've seen way too many times from vendors over the years, Microsoft most famously. Then the patch to fix the vulnerability breaks something else and the vendor has to send out a patch to fix the patch.

    For my user base at least, I would rather have to cripple that one aspect of the system for a few days (till a proper patch is released) in response to a vulnerability then to risk a hastily applied patch breaking things beyond just the vulnerability. I can tolerate downing the SSL VPN subsystem for a few days to a week, I can't risk a patch breaking my UTM and crippling close to a dozen offices in one go.
Children
  • 0 in reply to TheDrew
    "Better to rush it out" is something I've seen way too many times from vendors over the years, Microsoft most famously. Then the patch to fix the vulnerability breaks something else and the vendor has to send out a patch to fix the patch.

    Not to toot my own horn, but the glitches with the 9.1x & 9.2x patches rushed out by Sophos just illustrate exactly what I mean.[:)]

    Technically this wasn't a patch required to fix a patch that broke the system (tho I think someone did report here the patch broke their UTM & required reinstall from iso), but special procedures were required for the 9.1 series patch, and an updated patch for 9.2 had to be pushed out to fix a glitch in the original patch.