Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 158 replies
  • Subscribers 3 subscribers
  • Views 150995 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Timeline for patching SSL vulnerability (Heartbleed Bug)

strategicdata
Heatbleed Bug (CVE-2014-0160)

Hi

Is there any timeframe for patching this SSL/TLS bug for Astaro Security Gateway V8.
We are on the latest 8.311 (as V8 is an approved appliance for us and V9 is not).

Thanks


Heartbleed Bug
https://news.ycombinator.com/item?id=7548991


This thread was automatically locked due to age.
Parents
  • 0
    But the CA should have not been compromised regarding to that OpenSSL bug AFAIK. The CA is only used internally to sign certificates. Processes like the WebAdmin, OpenVPN and so on which use OpenSSL internally and who were exposed to the outside world would only do signature checking against the CA public key. Which would not lead in to compromisation of the CA.

    The problem is that this bug made it possible to read random 64byte of your appliance Memory. This could be repeated as often as you want and revealed every information that was in there at the moment. So this does NOT ONLY compromise your SSL related things. It could affect every information!! Active directory user passwords, session data of users when using proxy, mail addresses and message content, web traffic, SSH keys etc. So everything that your UTM could have loaded in memory (RAM) at a given moment. And yes, it could also be the private keys of your CA... So changing only SSL certs is not enough, change all your passwords that could have been processed within the UTM memory.
  • 0 in reply to samy_01
    The problem is that this bug made it possible to read random 64byte of your appliance Memory. This could be repeated as often as you want and revealed every information that was in there at the moment. So this does NOT ONLY compromise your SSL related things. It could affect every information!! Active directory user passwords, session data of users when using proxy, mail addresses and message content, web traffic, SSH keys etc. So everything that your UTM could have loaded in memory (RAM) at a given moment. And yes, it could also be the private keys of your CA... So changing only SSL certs is not enough, change all your passwords that could have been processed within the UTM memory.


    But only openssl-process, you won't be able to read the memory of any other process. OR?
Reply
  • 0 in reply to samy_01
    The problem is that this bug made it possible to read random 64byte of your appliance Memory. This could be repeated as often as you want and revealed every information that was in there at the moment. So this does NOT ONLY compromise your SSL related things. It could affect every information!! Active directory user passwords, session data of users when using proxy, mail addresses and message content, web traffic, SSH keys etc. So everything that your UTM could have loaded in memory (RAM) at a given moment. And yes, it could also be the private keys of your CA... So changing only SSL certs is not enough, change all your passwords that could have been processed within the UTM memory.


    But only openssl-process, you won't be able to read the memory of any other process. OR?
Children
No Data