Timeline for patching SSL vulnerability (Heartbleed Bug)

I was able to apply 9.201 from 9.200 with no hitch via Up2Date.  

Good luck!
-Jim

Why is the 9.2 Update Version 9.201-23 only "Medium urgency"?

[8-)]

Dear Sophos - did you just auto-update my ASG?

After I got the downtime window and it did not work due to the version mismatch I have been waiting, checking for new Updates and finally set the search for updates back to automatic.

At 19:41 my asg restartet - without interaction from my side, nor it was another admin.

Did you set an automatic installation instruction? On my production machine?

haha [:)] same here ... I also set it back to automatic check and sudenly the whole system restartet and applied the patches automatically. Very strange

Hi, 

The certificates may have been compromised, and it's possible someone used that to get your passwords (if they could sniff your traffic when you logged in).

And, if you allow admin logins from anywhere, they then may have logged in.

If you don't allow admin (webadmin) logins from anywhere, then no one should have been able to get in, and re-keying the certs should be enough.

You can re-key the webadmin cert remotely without affecting VPNs, etc.

Barry

Thanks Barry.  I only allow web admin logins from the internal interface, but I have User Portal exposed to the internet.  I did not explicity allow admins to log in, but I think my admin account can login to the User Portal--along with my VPN user.

I knew I should have set the User Portal to internal only.  [8-)]

When I install u2d-sys-9.200011-201023.tgz.gpg, it fails to install...see screenshot

email notification:
Firmware Up2Date installation failed: An error occured during the RPM pre-installation test (1) Please check the up2date log file for detailed information.

Same here (with wget + /sbin/auisys.plx --showdesc).

LOG:

2014:04:09-20:05:10 utm auisys[26910]: Starting Up2Date Package Installer

2014:04:09-20:05:11 utm auisys[26910]: Searching for available up2date packages for type 'sys'

2014:04:09-20:05:11 utm auisys[26910]: Installing up2date package file '/var/up2date//sys/u2d-sys-9.200011-201023.tgz.gpg'

2014:04:09-20:05:11 utm auisys[26910]: Verifying up2date package signature

2014:04:09-20:05:16 utm auisys[26910]: Unpacking installation instructions

2014:04:09-20:05:19 utm auisys[26910]: [INFO-301] New Firmware Up2Date is ready for installation

2014:04:09-20:05:19 utm auisys[26910]: Stopping package processing, unpack only selected

2014:04:09-20:05:19 utm auisys[26910]: id="3720" severity="info" sys="system" sub="up2date" name="Successfully triggered up2date sync" status="success" action="sync"

2014:04:09-20:05:24 utm auisys[26910]: id="3716" severity="info" sys="system" sub="up2date" name="Up2date Package Installer finished, exiting"

2014:04:09-20:07:23 utm auisys[27042]: Starting Up2Date Package Installer

2014:04:09-20:07:23 utm auisys[27042]: Searching for available up2date packages for type 'sys'

2014:04:09-20:07:24 utm auisys[27042]: Installing up2date package file '/var/up2date//sys/u2d-sys-9.200011-201023.tgz.gpg'

2014:04:09-20:07:24 utm auisys[27042]: Verifying up2date package signature

2014:04:09-20:07:29 utm auisys[27042]: Unpacking installation instructions

2014:04:09-20:07:32 utm auisys[27042]: Unpacking up2date package container

2014:04:09-20:07:34 utm auisys[27042]: Running pre-installation checks

2014:04:09-20:07:42 utm auisys[27042]: Not installing optional ep-branding-ASG-afg

2014:04:09-20:07:43 utm auisys[27042]: Not installing optional ep-branding-ASG-ang

2014:04:09-20:07:44 utm auisys[27042]: Not installing optional ep-branding-ASG-atg

2014:04:09-20:07:44 utm auisys[27042]: Not installing optional ep-branding-ASG-aug

2014:04:09-20:07:46 utm auisys[27042]: Not installing optional ep-localization-afg

2014:04:09-20:07:47 utm auisys[27042]: Not installing optional ep-localization-ang

2014:04:09-20:07:47 utm auisys[27042]: Not installing optional ep-localization-atg

2014:04:09-20:07:48 utm auisys[27042]: Not installing optional ep-localization-aug

2014:04:09-20:07:51 utm auisys[27042]: Not installing optional kernel-smp

2014:04:09-20:07:52 utm auisys[27042]: Creating automatic configuration backup

2014:04:09-20:07:53 utm auisys[27042]: Starting up2date package installation

2014:04:09-20:07:58 utm auisys[27042]: >=========================================================================

2014:04:09-20:07:58 utm auisys[27042]: Failed testing RPM installation (command: 'rpm --test -U --nodeps /var/up2date//sys-install/u2d-sys-9.201023/rpms/utm-lcd-0.6-0.160585403.gdd50b97.i686.rpm')

2014:04:09-20:07:58 utm auisys[27042]: 

2014:04:09-20:07:58 utm auisys[27042]:  1. Internal::Systemstep::real_installation:2596() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]:  2. main:[:P]erform_work:1161() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]:  3. main::auisys_prepare_and_work:555() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]:  4. main::top-level:32() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]: |=========================================================================

2014:04:09-20:07:58 utm auisys[27042]: Error details:

2014:04:09-20:07:58 utm auisys[27042]:  (stdout):$VAR1 = [];

2014:04:09-20:07:58 utm auisys[27042]:  (stderr):$VAR1 = [

2014:04:09-20:07:58 utm auisys[27042]:           '	file /usr/sbin/lcm-162 from install of utm-lcd-0.6-0.160585403.gdd50b97.i686 conflicts with file from package lcm-162-0.5-0.103803969.g6fb25ba.i686

2014:04:09-20:07:58 utm auisys[27042]: '

2014:04:09-20:07:58 utm auisys[27042]:         ];

2014:04:09-20:07:58 utm auisys[27042]: 

2014:04:09-20:07:58 utm auisys[27042]:  1. Internal::Systemstep::real_installation:2597() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]:  2. main:[:P]erform_work:1161() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]:  3. main::auisys_prepare_and_work:555() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]:  4. main::top-level:32() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]: |=========================================================================

2014:04:09-20:07:58 utm auisys[27042]: id="371O" severity="error" sys="system" sub="up2date" name="Fatal: Up2Date package installation failed: An error occured during the RPM pre-installation test (1)" status="failed" action="install" code="1" package="sys"

2014:04:09-20:07:58 utm auisys[27042]: 

2014:04:09-20:07:58 utm auisys[27042]:  1. main::alf:70() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]:  2. main:[:P]erform_work:1207() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]:  3. main::auisys_prepare_and_work:555() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]:  4. main::top-level:32() auisys.pl

2014:04:09-20:07:58 utm auisys[27042]: [CRIT-311] Firmware Up2Date installation failed

2014:04:09-20:07:58 utm auisys[27042]: =========================================================================

2014:04:09-20:10:39 utm auisys[27311]: Failed testing RPM installation (command: 'rpm --test -U --nodeps /var/up2date//sys-install/u2d-sys-9.201023/rpms/utm-lcd-0.6-0.160585403.gdd50b97.i686.rpm')

2014:04:09-20:10:39 utm auisys[27311]: 

2014:04:09-20:10:39 utm auisys[27311]:  1. Internal::Systemstep::real_installation:2596() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]:  2. main:[:P]erform_work:1161() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]:  3. main::auisys_prepare_and_work:555() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]:  4. main::top-level:32() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]: |=========================================================================

2014:04:09-20:10:39 utm auisys[27311]: Error details:

2014:04:09-20:10:39 utm auisys[27311]:  (stdout):$VAR1 = [];

2014:04:09-20:10:39 utm auisys[27311]:  (stderr):$VAR1 = [

2014:04:09-20:10:39 utm auisys[27311]:           '	file /usr/sbin/lcm-162 from install of utm-lcd-0.6-0.160585403.gdd50b97.i686 conflicts with file from package lcm-162-0.5-0.103803969.g6fb25ba.i686

2014:04:09-20:10:39 utm auisys[27311]: '

2014:04:09-20:10:39 utm auisys[27311]:         ];

2014:04:09-20:10:39 utm auisys[27311]: 

2014:04:09-20:10:39 utm auisys[27311]:  1. Internal::Systemstep::real_installation:2597() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]:  2. main:[:P]erform_work:1161() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]:  3. main::auisys_prepare_and_work:555() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]:  4. main::top-level:32() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]: |=========================================================================

2014:04:09-20:10:39 utm auisys[27311]: id="371O" severity="error" sys="system" sub="up2date" name="Fatal: Up2Date package installation failed: An error occured during the RPM pre-installation test (1)" status="failed" action="install" code="1" package="sys"

2014:04:09-20:10:39 utm auisys[27311]: 

2014:04:09-20:10:39 utm auisys[27311]:  1. main::alf:70() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]:  2. main:[:P]erform_work:1207() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]:  3. main::auisys_prepare_and_work:555() auisys.pl

2014:04:09-20:10:39 utm auisys[27311]:  4. main::top-level:32() auisys.pl

2014:04:09-20:10:40 utm auisys[27311]: [CRIT-311] Firmware Up2Date installation failed

2014:04:09-20:10:40 utm auisys[27311]: 

I Manually Download and Uploaded the 3 files before the Up2Date "proceeded"

Have to admit it was a mess but somehow it "started" installing when "3rd" file is uploaded.

u2d-sys-9.109001-110022.tgz.gpg (Third File Manually)
u2d-sys-9.110022-111007.tgz.gpg (Second File Manualy)
u2d-sys-9.111002-111007.tgz.gpg (First File Auto Up2Date)

1) Changed the Password for my SSL VPN Username.

2) How to Re-Generate Certificates? Is there a step by step guide?

3) Downloading the SSL VPN Client for windows to install.

Guys, read this KB article and all will become clear [:)]
http://www.sophos.com/en-us/support/knowledgebase/120851.aspx

The same thing (9.201 install failure) happened to me, but I found the solution:

rpm -e lcm-162

removes the offending package and then the install worked for me.

t-work, as soon as your box downloaded the missing 9.109-to-9.100 Up2Date, it restarted your failed installation of 9.111.

Hey Bob,

thanks for the explanation!

So this is how I understand it:
- I started the installation of an (auto-synced) update that could not work due to a missing, not yet distributed (auto-synced) update
- this installation tells me, it "failed" due to the version mismatch, but in fact it did not "abort"
- in the background the sync of the in-between update takes place
- the installation starts as soon as this in-between update has been downloaded, without any interaction, as the original Update - that "failed" has not been killed.

Is this what has happened?

I installed 9.201023 minutes ago and tried to regenerate the Webadmin CA and certificate as mentioned in Step 2 of "Heartbleed: Recommended steps for UTM".

But the WebAdmin CA is never regenerated... Any ideas?

u2d-sys-9.200011-201023.tgz.gpg FAILED

The same thing happened to me, but I found the solution:

rpm -e lcm-162

removes the offending package and then the install worked for me.

Thanks, that did the job [H]