Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 158 replies
  • Subscribers 3 subscribers
  • Views 150926 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Timeline for patching SSL vulnerability (Heartbleed Bug)

strategicdata
Heatbleed Bug (CVE-2014-0160)

Hi

Is there any timeframe for patching this SSL/TLS bug for Astaro Security Gateway V8.
We are on the latest 8.311 (as V8 is an approved appliance for us and V9 is not).

Thanks


Heartbleed Bug
https://news.ycombinator.com/item?id=7548991


This thread was automatically locked due to age.
  • 0
    Ok patches is availaible :  9.111-7
  • 0
    I usually only lurk on this forum, but let me add my 2 cents here.

    I totally agree with barkas.  First and foremost, there should have been official communication from Sophos to partners.  As far as we know today, the impact from the cleanup of this issue, after patching the vulnerability itself, is going to be huge globally (i.e. I am not talking about Sophos specifically right now).  Like never-ever-ever seen huge.  Just imagine all the private keys that need to be regenerated and then all the certificates that need to be signed by the public CAs like Verisign.  Are they going to do it free?  Somehow I don't think so...  But even if they do, just think of the logistical nightmare of doing this for everybody in a short amount of time.

    Also, there definitely should be a hotfix available that have been baseline-tested (i.e. seems to work [:)] ) that partners can apply using their own judgement.  For example, take a customer of ours, a few thousand users all around the country, with web applications publically available through UTM's Web Protection.  These web applications need to be 24x7 accessible for truly important work.  So what are our choices right now?

    • Tell the customer to turn off access to their web applications and wait an unspecified amount of time until Sophos releases something, which still needs to be tested on the customer's site, of course.  Clearly unacceptable, they must work 24x7.
    • Tell the customer to disable Webserver Protection and NAT the traffic to their applications.  Also clearly unacceptable, can make matters worse because of vulnerable applications and/or webservers.
    • Do nothing and possibly expose even more sensitive information.  This is the only choice remaining.  Should not be too happy about it...


    Actually, I am about to grab the fixed openssl package from SLES and test if that works with UTM (my guess is that it would).
  • 0 in reply to Ákos Szalkai
    It appears a patch is out (I am in the process of testing it now) ... 9.111007 -- saw a customer UTM pull it down a few minutes ago.  Includes the Heartbleed fix.

    I'm assuming that 9.109 users will be seeing a 9.110 update as well (there is one on the FTP site), so I'm thinking both will need to be installed  -- but don't "quote me" on that just yet.
  • 0 in reply to brassardv
    Ok patches is availaible :  9.111-7


    But not yet for 9.200-11 [:(]

    Hope this will be also released soon.
  • 0 in reply to BrucekConvergent
    Nothing yet for 9.200-11.

    -Jim
  • 0 in reply to Ákos Szalkai


    Are they going to do it free?  Somehow I don't think so...  But even if they do, just think of the logistical nightmare of doing this for everybody in a short amount of time.


    I talked to my certificate reseller today. My certificates are resigned for free. CA was RapidSSL and Comodo.

    You are absolutly right. Sophos communication is a disaster in this case.
  • 0 in reply to BrucekConvergent
    It appears a patch is out (I am in the process of testing it now) ... 9.111007 -- saw a customer UTM pull it down a few minutes ago.  Includes the Heartbleed fix.

    I'm assuming that 9.109 users will be seeing a 9.110 update as well (there is one on the FTP site), so I'm thinking both will need to be installed  -- but don't "quote me" on that just yet.


    Cool, I just tried, right now we have a soft-released 9.110 and a hard(?)-released 9.111. [:@] The UTM's download 9.111 and don't download 9.110.  That was really worth two days of testing...

    Also there is no fix for 9.200 available yet.

    And there simply has to be some kind of detailed announcement from Sophos.  Why install immediately, what to do after installation.  The difficult part comes after installing the fix!!!
  • 0
    u2d-sys-9.110022-111002.tgz.gpg

    libopenssl1_0_0-1.0.1g-1.1.0.162384817.g6fb2a0a.i686.rpm
    libopenssl1_0_0_httpproxy-1.0.1g-1.1.0.162384817.g6fb2a0a.i686.rpm
    openssl-1.0.1g-1.1.0.162384817.g6fb2a0a.i686.rpm
    client-openvpn-9.10-7.g92cb928.noarch.rpm
    ep-release-9.111-7.noarch.rpm

    Update from 9.111 Soft Release to GA Release
    Fix: OpenSSL vulnerability: TLS heartbeat read overrun (CVE-2014-0160)
  • 0
    What ever happened to the alerting service Astaro created after the June 2010 virus pattern update disaster?  It appears that Sophos let that die.

    Cheers - Bob
  • 0 in reply to BAlfson
    What ever happened to the alerting service Astaro created after the June 2010 virus pattern update disaster?  It appears that Sophos let that die.


    Exactly.  I have never ever received an alert there, and I was hoping that perhaps this time... [:D]