Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 158 replies
  • Subscribers 3 subscribers
  • Views 150985 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Timeline for patching SSL vulnerability (Heartbleed Bug)

strategicdata
Heatbleed Bug (CVE-2014-0160)

Hi

Is there any timeframe for patching this SSL/TLS bug for Astaro Security Gateway V8.
We are on the latest 8.311 (as V8 is an approved appliance for us and V9 is not).

Thanks


Heartbleed Bug
https://news.ycombinator.com/item?id=7548991


This thread was automatically locked due to age.
Parents
  • 0
    fobe, show the lines from the Up2Date log relative to this.

    t-work, as soon as your box downloaded the missing 9.109-to-9.100 Up2Date, it restarted your failed installation of 9.111.

    Repeating a post from a prior page:
    If you don't also see the 9.109-to-9.110 Up2Date, download it at the command line as root by executing the following block of code:
    cd /var/up2date/sys
    wget http://ftp.astaro.com/UTM/v9/up2date/u2d-sys-9.109001-110022.tgz.gpg
    /sbin/auisys.plx --showdesc

    and then install in WebAdmin.

    Cheers - Bob
  • 0 in reply to BAlfson
    t-work, as soon as your box downloaded the missing 9.109-to-9.100 Up2Date, it restarted your failed installation of 9.111.


    Hey Bob,

    thanks for the explanation!

    So this is how I understand it:
    - I started the installation of an (auto-synced) update that could not work due to a missing, not yet distributed (auto-synced) update
    - this installation tells me, it "failed" due to the version mismatch, but in fact it did not "abort"
    - in the background the sync of the in-between update takes place
    - the installation starts as soon as this in-between update has been downloaded, without any interaction, as the original Update - that "failed" has not been killed.

    Is this what has happened?
  • 0 in reply to t-work
    I installed 9.201023 minutes ago and tried to regenerate the Webadmin CA and certificate as mentioned in Step 2 of "Heartbleed: Recommended steps for UTM".

    But the WebAdmin CA is never regenerated... Any ideas?
Reply Children
  • 0 in reply to Pretender
    I installed 9.201023 minutes ago and tried to regenerate the Webadmin CA and certificate as mentioned in Step 2 of "Heartbleed: Recommended steps for UTM".

    But the WebAdmin CA is never regenerated... Any ideas?


    After pressing the "Apply" Button a green text should appear to tell you that the certificates will be regenerated and you will be redirected in 5 seconds to the login screen. Did that happen?
  • 0 in reply to mino
    It happened and the certificate is renewed but the CA isn't. I checked it twice.
  • 0 in reply to Pretender
    It happened and the certificate is renewed but the CA isn't. I checked it twice.


    Yes, you are totally right. The CA of the WebAdmin certificate is not regenerated. It seems that the KnowledgeBase article mentions CA and WebAdmin certificate recreation with that button, which is not right for the CA part.

    But the CA should have not been compromised regarding to that OpenSSL bug AFAIK. The CA is only used internally to sign certificates. Processes like the WebAdmin, OpenVPN and so on which use OpenSSL internally and who were exposed to the outside world would only do signature checking against the CA public key. Which would not lead in to compromisation of the CA.