Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 158 replies
  • Subscribers 3 subscribers
  • Views 150993 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Timeline for patching SSL vulnerability (Heartbleed Bug)

strategicdata
Heatbleed Bug (CVE-2014-0160)

Hi

Is there any timeframe for patching this SSL/TLS bug for Astaro Security Gateway V8.
We are on the latest 8.311 (as V8 is an approved appliance for us and V9 is not).

Thanks


Heartbleed Bug
https://news.ycombinator.com/item?id=7548991


This thread was automatically locked due to age.
  • 0 in reply to Pretender
    I installed 9.201023 minutes ago and tried to regenerate the Webadmin CA and certificate as mentioned in Step 2 of "Heartbleed: Recommended steps for UTM".

    But the WebAdmin CA is never regenerated... Any ideas?


    After pressing the "Apply" Button a green text should appear to tell you that the certificates will be regenerated and you will be redirected in 5 seconds to the login screen. Did that happen?
  • 0 in reply to mino
    It happened and the certificate is renewed but the CA isn't. I checked it twice.
  • 0 in reply to Pretender
    It happened and the certificate is renewed but the CA isn't. I checked it twice.


    Yes, you are totally right. The CA of the WebAdmin certificate is not regenerated. It seems that the KnowledgeBase article mentions CA and WebAdmin certificate recreation with that button, which is not right for the CA part.

    But the CA should have not been compromised regarding to that OpenSSL bug AFAIK. The CA is only used internally to sign certificates. Processes like the WebAdmin, OpenVPN and so on which use OpenSSL internally and who were exposed to the outside world would only do signature checking against the CA public key. Which would not lead in to compromisation of the CA.
  • 0
    But the CA should have not been compromised regarding to that OpenSSL bug AFAIK. The CA is only used internally to sign certificates. Processes like the WebAdmin, OpenVPN and so on which use OpenSSL internally and who were exposed to the outside world would only do signature checking against the CA public key. Which would not lead in to compromisation of the CA.

    The problem is that this bug made it possible to read random 64byte of your appliance Memory. This could be repeated as often as you want and revealed every information that was in there at the moment. So this does NOT ONLY compromise your SSL related things. It could affect every information!! Active directory user passwords, session data of users when using proxy, mail addresses and message content, web traffic, SSH keys etc. So everything that your UTM could have loaded in memory (RAM) at a given moment. And yes, it could also be the private keys of your CA... So changing only SSL certs is not enough, change all your passwords that could have been processed within the UTM memory.
  • 0 in reply to samy_01
    The problem is that this bug made it possible to read random 64byte of your appliance Memory. This could be repeated as often as you want and revealed every information that was in there at the moment. So this does NOT ONLY compromise your SSL related things. It could affect every information!! Active directory user passwords, session data of users when using proxy, mail addresses and message content, web traffic, SSH keys etc. So everything that your UTM could have loaded in memory (RAM) at a given moment. And yes, it could also be the private keys of your CA... So changing only SSL certs is not enough, change all your passwords that could have been processed within the UTM memory.


    But only openssl-process, you won't be able to read the memory of any other process. OR?
  • 0
    If you read the articles, it appears that anything in RAM is reachable. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    glad i have alternative remote access..[:)]  TEamviewer to the rescue..then i was able to instlal and regen  all certs except for one box..which is a confd error..will clal support tomorrow.
  • 0 in reply to BAlfson
    If you read the articles, it appears that anything in RAM is reachable. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.



    Thats my problem, i've read more than one articles where they said, that only the RAM using openssl could be read.

     openssl - Can Heartbleed be used to obtain memory from other processes? - Information Security Stack Exchange 

    Sorry, wrote with Smartphone, too :x
  • 0
    Regarding to the security advisory from OpenSSL I understand that it is ALL RAM: https://www.openssl.org/news/secadv_20140407.txt, but to be sure you can install a virtual appliance without the patches in a test VM and check it yourself. There are various web pages with online checks and the source code for the attack available.

    EDIT: in fact there are very different opinions about that http://arstechnica.com/security/2014/04/critical-crypto-bug-exposes-yahoo-mail-passwords-russian-roulette-style/ - so maybe someone technical engineer from Sophos could give an answer to that

    EDIT: http://heartbleed.com/ the website of the person who discovered the bug. There it reads like only session related memory to SSL can be read (scroll down to Q&A)

    EDIT: does the SSL VPN between two Sophos UTMs use Forward Security? With this at least our intra corporate traffic would have be safe against reverse encryption...
  • 0 in reply to samy_01
    Regarding to the security advisory from OpenSSL I understand that it is ALL RAM.
    ...
    EDIT: Heartbleed Bug the website of the person who discovered the bug. There it reads like only session related memory to SSL can be read (scroll down to Q&A)


    In Linux or most of the other modern operating systems user space processes and their used memory resources are isolated from each other, the so called process isolation [1]. So any process and their corresponding memory areas which were affected by this bug, by including and facing the relevant openssl libraries to the outside, should be considered as compromised. 
    Still there is the question how easy it is to obtain a full data set like a private key from this bug [2]. Only junks of data can be extracted by that bug and that means if you want to extract a big chunk of data you have to puzzle it by small segments. But besides the ssl private key data which would normally need such puzzling in all of those memory areas of such a process, there could be also sensitive data like login credentials, session ids and so on. These data usually is in its nature quite short and can often be extracted by one single attack. But because puzzling is not an impossible task for a computer all the data of these external facing services should be considered as compromised/leaked. The gathered data then could be used to do further attacks or privilege escalations which then could lead to a further compromisations.

    [1] Process isolation - Wikipedia, the free encyclopedia
    [2] http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html