Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 158 replies
  • Subscribers 3 subscribers
  • Views 150884 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Timeline for patching SSL vulnerability (Heartbleed Bug)

strategicdata
Heatbleed Bug (CVE-2014-0160)

Hi

Is there any timeframe for patching this SSL/TLS bug for Astaro Security Gateway V8.
We are on the latest 8.311 (as V8 is an approved appliance for us and V9 is not).

Thanks


Heartbleed Bug
https://news.ycombinator.com/item?id=7548991


This thread was automatically locked due to age.
Parents
  • 0
    barkas,

    Ubuntu's also famous for blowing stuff out the door at a fast pace without doing as much QA as they probably should. SUSE/SLES, RHEL/CentOS won't patch within 24hours as they do a bunch of testing before release, but also often times backport changes to earlier versions.

    A couple of days is reasonable for a major enterprise Linux vendor to respond to a vulnerability. Add in an extra day for trickle down to companies like Sophos that rebuild those distros, SLES in this case, and it gets fixed.

    Then the end user spends weeks sitting on the patch. [:)] (tongue in cheek snark)
  • 0 in reply to TheDrew
    barkas,

    Ubuntu's also famous for blowing stuff out the door at a fast pace without doing as much QA as they probably should. SUSE/SLES, RHEL/CentOS won't patch within 24hours as they do a bunch of testing before release, but also often times backport changes to earlier versions.

    A couple of days is reasonable for a major enterprise Linux vendor to respond to a vulnerability. Add in an extra day for trickle down to companies like Sophos that rebuild those distros, SLES in this case, and it gets fixed.

    Then the end user spends weeks sitting on the patch. [:)] (tongue in cheek snark)


    For this patch, I can not wait a couple of days, it is too critical. Better to rush it out and break something than leave all your installations open for days.
    I can not shut down every system, nor can I regenerate the certificates of certain systems.
  • 0 in reply to barkas
    For this patch, I can not wait a couple of days, it is too critical. Better to rush it out and break something than leave all your installations open for days.
    I can not shut down every system, nor can I regenerate the certificates of certain systems.


    not at the expense of downing your security device...that's just shortsighted and NOT the way to run a security appliance.
  • 0 in reply to William Warren
    not at the expense of downing your insecurity device...that's just shortsighted and NOT the way to run a security appliance.


    fixed that for you
Reply Children
No Data