Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 158 replies
  • Subscribers 3 subscribers
  • Views 150936 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Timeline for patching SSL vulnerability (Heartbleed Bug)

strategicdata
Heatbleed Bug (CVE-2014-0160)

Hi

Is there any timeframe for patching this SSL/TLS bug for Astaro Security Gateway V8.
We are on the latest 8.311 (as V8 is an approved appliance for us and V9 is not).

Thanks


Heartbleed Bug
https://news.ycombinator.com/item?id=7548991


This thread was automatically locked due to age.
Parents
  • 0
    I usually only lurk on this forum, but let me add my 2 cents here.

    I totally agree with barkas.  First and foremost, there should have been official communication from Sophos to partners.  As far as we know today, the impact from the cleanup of this issue, after patching the vulnerability itself, is going to be huge globally (i.e. I am not talking about Sophos specifically right now).  Like never-ever-ever seen huge.  Just imagine all the private keys that need to be regenerated and then all the certificates that need to be signed by the public CAs like Verisign.  Are they going to do it free?  Somehow I don't think so...  But even if they do, just think of the logistical nightmare of doing this for everybody in a short amount of time.

    Also, there definitely should be a hotfix available that have been baseline-tested (i.e. seems to work [:)] ) that partners can apply using their own judgement.  For example, take a customer of ours, a few thousand users all around the country, with web applications publically available through UTM's Web Protection.  These web applications need to be 24x7 accessible for truly important work.  So what are our choices right now?

    • Tell the customer to turn off access to their web applications and wait an unspecified amount of time until Sophos releases something, which still needs to be tested on the customer's site, of course.  Clearly unacceptable, they must work 24x7.
    • Tell the customer to disable Webserver Protection and NAT the traffic to their applications.  Also clearly unacceptable, can make matters worse because of vulnerable applications and/or webservers.
    • Do nothing and possibly expose even more sensitive information.  This is the only choice remaining.  Should not be too happy about it...


    Actually, I am about to grab the fixed openssl package from SLES and test if that works with UTM (my guess is that it would).
  • 0 in reply to Ákos Szalkai


    Are they going to do it free?  Somehow I don't think so...  But even if they do, just think of the logistical nightmare of doing this for everybody in a short amount of time.


    I talked to my certificate reseller today. My certificates are resigned for free. CA was RapidSSL and Comodo.

    You are absolutly right. Sophos communication is a disaster in this case.
Reply
  • 0 in reply to Ákos Szalkai


    Are they going to do it free?  Somehow I don't think so...  But even if they do, just think of the logistical nightmare of doing this for everybody in a short amount of time.


    I talked to my certificate reseller today. My certificates are resigned for free. CA was RapidSSL and Comodo.

    You are absolutly right. Sophos communication is a disaster in this case.
Children
No Data