Timeline for patching SSL vulnerability (Heartbleed Bug)

Please tell us what we should do now to install the fixed update! Because it still doesn't work here. Do I need to delete the broken update first or what?

Dino

I propose for you to download the package from FTP server and point the UTM to this one.

You also can apply the "quick&dirty" solution and remove the LCM package on the shell:

rpm -e lcm-162

After you removed it, the update will be installed without problems.

Barkas, what certificates were not regenerated?  Ahhh, I see - the manually-created certificates.  If you create a Feature Request, I'll add a vote.   In fact, is there any reason these also couldn't be updated automatically along with the dependent uses like Virtual Servers, etc.?

Cheers - Bob

I wrote

Regenerating the CA means you want to delete the old CA, thereby invalidating all existing certificates, including the manually created ones.
So there should be at least an option to regenerate those as well when regenerating the CA certificate.

but the site does not work for me, could you try instead?

Hello,

the knowledgebase article was updated.

Is the first step in the Shell important after renew cert. in the WebAdmin?

Thanks

Slightly irritated that after re-generating all certificates two days ago, based on the KB article from Sophos, they update it and say I now need to regenereate the CA first?  So... does this mean I need to re-do the entire thing, and further annoy all employees with an uninstall/install of the VPN client?!

If so... I am getting an error when updating the CA via command line...


result: 0
fatal: [
          {
            'Aattrs' => [
                          'class',
                          'type',
                          'attr'
                        ],
            'attr' => 'country',
            'attrs' => [
                         'maxlen'
                       ],
            'class' => 'ca',
            'fatal' => 1,
            'format' => 'Cannot create certificate: the %_A attribute must not be longer than %s bytes.',
            'maxlen' => 2,
            'msgtype' => 'CA_RDN_LENGTH',
            'name' => 'Cannot create certificate: the country attribute must not be longer than 2 bytes.',
            'never_hide' => 0,
            'type' => 'signing_ca'
          }
        ]
                                                                                                                           127.0.0.1 RAW >

I guess Im glad Im still on V8 everywhere. Its been so stable and reliable, Ive had little need to upgrade.

Holy crap. There's a whole lotta freak out about this when the chances of a system actually being compromised are very very low, extremely low, in fact. Heard of any? 

I'd go further and say that with all this freaking out and activity, it actually increases the chances of your system being compromised since you're all jamming user names and passwords all over the place. 

But it is generating billable hours. I love my industry. [:)]

Holy crap. There's a whole lotta freak out about this when the chances of a system actually being compromised are very very low, extremely low, in fact. Heard of any? 

I'd go further and say that with all this freaking out and activity, it actually increases the chances of your system being compromised since you're all jamming user names and passwords all over the place. 

But it is generating billable hours. I love my industry. [[:)]]

While you get to bill customers, I get explain to management why I found out about an additional step required to protect the organization, but that I decided it wasn't necessary because no one had reported an un-detectable breech [[:)]]

-Jim

Slightly irritated that after re-generating all certificates two days ago, based on the KB article from Sophos, they update it and say I now need to regenereate the CA first?  So... does this mean I need to re-do the entire thing, and further annoy all employees with an uninstall/install of the VPN client?!

If so... I am getting an error when updating the CA via command line...


result: 0
fatal: [
          {
            'Aattrs' => [
                          'class',
                          'type',
                          'attr'
                        ],
            'attr' => 'country',
            'attrs' => [
                         'maxlen'
                       ],
            'class' => 'ca',
            'fatal' => 1,
            'format' => 'Cannot create certificate: the %_A attribute must not be longer than %s bytes.',
            'maxlen' => 2,
            'msgtype' => 'CA_RDN_LENGTH',
            'name' => 'Cannot create certificate: the country attribute must not be longer than 2 bytes.',
            'never_hide' => 0,
            'type' => 'signing_ca'
          }
        ]
                                                                                                                           127.0.0.1 RAW >

Hi Jimstigator,

the KBA was updatet with regeneration of the WebAdmin CA. After regeneration of that CA you only have to regenerate the WebAdmin Certificate via WebAdmin ( Regenerate Option ). No further steps needed. The VPN Certs and so on are managed by a different CA which you already regenerated by following the old KBA.

The error you get is because you used a too long name in the country part of the command:

country=>'CountryAcronym'

Valid country codes are US, DE and so on. I hope that helps.

Thanks!  That country change fixed it. 

So, just as a confirmation, I am good to go on the other steps where I just went into cert management and refreshed?  The Webadmin piece was the only step that utilizes the command line instructions provided in the latest KB?

I just need 100% confidence I don't need to re-do the SSL VPN certs again.

Thanks!
Jim