Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 158 replies
  • Subscribers 3 subscribers
  • Views 150918 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Timeline for patching SSL vulnerability (Heartbleed Bug)

strategicdata
Heatbleed Bug (CVE-2014-0160)

Hi

Is there any timeframe for patching this SSL/TLS bug for Astaro Security Gateway V8.
We are on the latest 8.311 (as V8 is an approved appliance for us and V9 is not).

Thanks


Heartbleed Bug
https://news.ycombinator.com/item?id=7548991


This thread was automatically locked due to age.
  • 0 in reply to eserzet_01
    RED tunnles are also affected and should be disabled, right?? [:(]


    I'm asking me the same question. [:S]
  • 0
    Here is a tool for test your Sophos/Astaro servers: Test your server for Heartbleed (CVE-2014-0160)
    Do not forget to add the port :4444
  • 0 in reply to ipzipzap
    It's the same for everything SSL-related in the UTM. You'll have to wait for the fix and then change all private keys and certs.
  • 0 in reply to Jens Heidling
    Here is a tool for test your Sophos/Astaro servers: Test your server for Heartbleed (CVE-2014-0160)
    Do not forget to add the port :4444


    I would be very cautious to use this service:

    - it's logging lookups.
    - this site is hosted by:  Filippo Valsorda (@FiloSottile) an Italian consultant specialized in cryptography and security with a passion for Python and maths. I am one of the guys currently behind youtube-dl and I am attending Hacker School in NYC.

    Not that anything is wrong with the guy perse, i just don't like to spoon feed a hacker my clients compromised urls.
  • 0 in reply to R0n1
    I would be very cautious to use this service:

    - it's logging lookups.
    - this site is hosted by:  Filippo Valsorda (@FiloSottile) an Italian consultant specialized in cryptography and security with a passion for Python and maths. I am one of the guys currently behind youtube-dl and I am attending Hacker School in NYC.

    Not that anything is wrong with the guy perse, i just don't like to spoon feed a hacker my clients compromised urls.

    considering that sophos v9 and above is known vulnerable why give them the ability to slurp your keys form your firewall?
  • 0 in reply to Krycek
    It's the same for everything SSL-related in the UTM. You'll have to wait for the fix and then change all private keys and certs.


    And the RED-Devices?
  • 0
    once you re-cert the utm it'll propagate to the reds.
  • 0 in reply to William Warren
    Considering this is a specially, hardened, distro they do have to perform testing.


    In what sense do you mean that it is a hardened distro?  I cannot see any hardened kernel config options.  The userland isn't hardened either: 
    dideki:/root/pt/usr/bin # ./paxtest kiddie

    PaXtest - Copyright(c) 2003,2004 by Peter Busser 

    Released under the GNU Public Licence version 2 or later

    

    Writing output to paxtest.log

    It may take a while for the tests to complete

    Test results:

    PaXtest - Copyright(c) 2003,2004 by Peter Busser 

    Released under the GNU Public Licence version 2 or later

    

    Mode: kiddie

    Linux dideki.2f.hu 3.8.13.15-110.g4be5643-smp #1 SMP Fri Feb 14 12:57:38 UTC 2014 i686 i686 i386 GNU/Linux

    

    Executable anonymous mapping             : Vulnerable

    Executable bss                           : Vulnerable

    Executable data                          : Vulnerable

    Executable heap                          : Vulnerable

    Executable stack                         : Vulnerable

    Executable shared library bss            : Vulnerable

    Executable shared library data           : Vulnerable

    Executable anonymous mapping (mprotect)  : Vulnerable

    Executable bss (mprotect)                : Vulnerable

    Executable data (mprotect)               : Vulnerable

    Executable heap (mprotect)               : Vulnerable

    Executable stack (mprotect)              : Vulnerable

    Executable shared library bss (mprotect) : Vulnerable

    Executable shared library data (mprotect): Vulnerable

    Writable text segments                   : Vulnerable

    Anonymous mapping randomisation test     : No randomisation

    Heap randomisation test (ET_EXEC)        : 13 bits (guessed)

    Heap randomisation test (PIE)            : 13 bits (guessed)

    Main executable randomisation (ET_EXEC)  : No randomisation

    Main executable randomisation (PIE)      : No randomisation

    Shared library randomisation test        : No randomisation

    Stack randomisation test (SEGMEXEC)      : 19 bits (guessed)

    Stack randomisation test (PAGEEXEC)      : 19 bits (guessed)

    Return to function (strcpy)              : Vulnerable

    Return to function (memcpy)              : Vulnerable

    Return to function (strcpy, PIE)         : Vulnerable

    Return to function (memcpy, PIE)         : Vulnerable
  • 0 in reply to William Warren
    once you re-cert the utm it'll propagate to the reds.


    That's clear, but are the red boxes right now also not safe anymore? [:S]
    Because if they are not safe right now, we have to disconnect the RED-connections.