Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 4790 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Heartbleed: Can SOPHOS be trusted anymore?

hoffmannc
We cannot quantify the amount headache caused by openssl vuln. The main question popped by my senior management is " Can we trust Sophos? ".

Frankly, I have no answer. The UTMs were a recent deployment in our network - we moved away from a major competitor to you. There were many stability issues but we persevered at times justifying the cost savings. But with this bug and delays from Sophos, the question falls flat on us. 

What do you think?


This thread was automatically locked due to age.
Parents
  • 0
    Hi ,

    This bug does not come from Sophos .
    It is a worldwide issue that lots of systems suffered from it , one of them is Google.
    This bug hits everyone that uses the OpenVpn and there are many from the most famous companies that use it.
    Once the bug has been discovered , a patch was released to all affected versions , so what's complain can you point on Sophos ???


    All my best.
    Gilipeled
Reply
  • 0
    Hi ,

    This bug does not come from Sophos .
    It is a worldwide issue that lots of systems suffered from it , one of them is Google.
    This bug hits everyone that uses the OpenVpn and there are many from the most famous companies that use it.
    Once the bug has been discovered , a patch was released to all affected versions , so what's complain can you point on Sophos ???


    All my best.
    Gilipeled
Children
  • 0 in reply to gilipeled
    I think if you check around, you'll find that many other vendors were and are affected by this particular bug; it's an effect of using a common library in many different tools and systems (not unlike other products and software libraries used elsewhere).  Other vendors (with much larger footprints, budgets, developer counts, etc.) have had as serious or more serious issues with their products (names need not be mentioned here -- let's just say if you subscribe to US-CERT you'll know who I'm talking about) -- security is an ongoing battle, and so long as vendors respond in a responsible and timely matter to threats, and do not have an ongoing pattern of lack of care or response to security issues, I don't think you can say you shouldn't "trust" them.

    I heard a computer scientist say once that finding software errors is like finding one misspelled name in the Beijing telephone book ... I have oft used that line in explaining software failures and issues to customers and associates alike.  I'm sure moving forward that the open source community will be reviewing and testing important libraries such as OpenSSL, etc. much more stringently moving forward (indeed, there is already a movement underway to do so).  I don't think you can blame Sophos for this -- they were using a library that was generally accepted by the industry as safe to use, just as many others were.