Timeline for patching SSL vulnerability (Heartbleed Bug)

Did I miss any official news from Sophos on that topic? Haven't found anything yet nor got an email from them. Of course any company needs time to prepare a fix, but I'm expecting  an information to customers, that a security problem exists.

considering how widely reported it is on the net sophos doesn't need to regurgitate it again...also folks chill..sophos will have a fix out ASAP.  I may ahve issues with some of their decisons from time to time but Sophos isn't MIcrosoft and they won't be sitting on this until patch whatever day...they'll get the fix out quickly.  Considering this is a specially, hardened, distro they do have to perform testing.  I'm sure they could have the patch out in a matter of hours but then what else would get screwed up?  Give them a bit of time to get a properly tested patch out.  It's not there aren't mitigations available...you have a choice..avail yourself of them or not.  So sit back and chill folks Sophos is on the job and up to the task in this instance...or would you rather them rush out a fix and down your entire gateway infrastructure?

Hi,

after calling my german distributor i got the information that all versions from 9.100 and up are indeed affected and that there is no timeline for patch nor any kind of official statement.

At least i would have expected an official statement which versions are affected and a rough timeline when to expect an patch and what to do meanwhile.

For exactly this reasons i'm using Sophos and no homebrew IP-Cop/PFSense what'-o-ever solution because i do want to have a commercial solution which is supported.

Currently we made sure that all WebAdmin Portals are only reachable from internal networks and disabled all SSL RemoteAccess/Tunnels (for about 50 of our customers!) 

kind regards

janosch

the distributor is going to say that because in regards to UTM there's been nothing officially announced.  right now I'm not willing to start castigating Sophos yet.  We'll see how long it takes them to get a patch out.

FYI: IMPORTANT NOTE: OpenSSL Vulnerability (CVE-2014-0160) in Sophos UTM | Sophos Blog

IMPORTANT NOTE: OpenSSL Vulnerability (CVE-2014-0160) in Sophos UTM | Sophos Blog

Well done Sophos. Looking forward to the patch. Have changed clients to IPSec for the time being.

Just in case nobody has pointed this out, you can use a DNAT rule to redirect traffic from untrusted sources, it effectively blocks them from connecting on port 443.
Looking forward to a patch from Sophos for this one, and please everyone remember to regenerate your certificates once the patch is applied -- *not before*.

You have to be kidding me, ubuntu fixed this problem almost instantly.

Sophos, otoh, being a security company, is quite slow about it.

barkas,

Ubuntu's also famous for blowing stuff out the door at a fast pace without doing as much QA as they probably should. SUSE/SLES, RHEL/CentOS won't patch within 24hours as they do a bunch of testing before release, but also often times backport changes to earlier versions.

A couple of days is reasonable for a major enterprise Linux vendor to respond to a vulnerability. Add in an extra day for trickle down to companies like Sophos that rebuild those distros, SLES in this case, and it gets fixed.

Then the end user spends weeks sitting on the patch. [:)] (tongue in cheek snark)

barkas,

Ubuntu's also famous for blowing stuff out the door at a fast pace without doing as much QA as they probably should. SUSE/SLES, RHEL/CentOS won't patch within 24hours as they do a bunch of testing before release, but also often times backport changes to earlier versions.

A couple of days is reasonable for a major enterprise Linux vendor to respond to a vulnerability. Add in an extra day for trickle down to companies like Sophos that rebuild those distros, SLES in this case, and it gets fixed.

Then the end user spends weeks sitting on the patch. [:)] (tongue in cheek snark)

For this patch, I can not wait a couple of days, it is too critical. Better to rush it out and break something than leave all your installations open for days.
I can not shut down every system, nor can I regenerate the certificates of certain systems.