Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 4799 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Heartbleed: Can SOPHOS be trusted anymore?

hoffmannc
We cannot quantify the amount headache caused by openssl vuln. The main question popped by my senior management is " Can we trust Sophos? ".

Frankly, I have no answer. The UTMs were a recent deployment in our network - we moved away from a major competitor to you. There were many stability issues but we persevered at times justifying the cost savings. But with this bug and delays from Sophos, the question falls flat on us. 

What do you think?


This thread was automatically locked due to age.
Parents
  • 0
    I can understand the original posters frustration. I have come from 9.0 era through to 9.1 and now looking at 9.2.

    While yes each new patch/update fixes issues. There has been some serious bugs crop up throughout the 9.0 to 9.1 cycle, in relation to memory and reds dropping off etc. Even the 9.1 release was a big mess up as it wasn't ready to be sent out to production customers and caused so many headaches for people who adopted it early because of the "wow factor" of all the new features.

    I myself has been highly annoyed and frustrated with the lack of support and issues we have experienced - So I really do understand your frustration. 

    As a result of experience, I have learnt not to be so hasty with Sophos updates, I really want to jump on the 9.2 bandwagon (we jumped at it for 9.1) but I have held off until they release 9.202, as we feel this will be the version to go at.

    However, in relation to this OpenSSL issue it wasn't really anything to do with Sophos, there responsibility in this situation was to ensure they notified customers and had a fix for their products. Which I believe they did fairly well. However, there was no way I was going to update straight away, so I had left it for a few days.

    I also think that's its an overkill to regenerate every certificate for the UTM (and also a pain in the butt), as it wasn't a certificate issue but the way in which the protocol was handling the connection to the client. So all we have done was apply the patch and changed high level admin passwords on the UTM.


    The features that Sophos do offer are always improving and the flexibility of the REDs to easily deploy a branch is something I have never come across before and really enjoy working with these devices. Also the reporting functionality is one of the best I have seen and the web protection profiles are really good to customise our environment.

    So I guess what I'm saying is while Sophos UTM do have their speed bumps along the way, if you keep at it and work smarter with the device (looking at past experience) you will enjoy it much better. I still have my gripes about certain things but the amount of features available out weigh the negatives (in my opinion ) and they are negatives that I have worked around.
  • 0 in reply to stealthmatt_01
    I also think that's its an overkill to regenerate every certificate for the UTM (and also a pain in the butt), as it wasn't a certificate issue but the way in which the protocol was handling the connection to the client. So all we have done was apply the patch and changed high level admin passwords on the UTM.

    The reason certificates had to be regenerated was because the vulnerability potentially allowed an attacker to steal your existing certs, thereby allowing them to pretend to be you. Because the cert is valid, there's no way the victim could tell they weren't talking to you, especially if the cert used a DNS name.

    If you used PSK and a password for VPN tunnels (S2S & roadwarrior) you are okay but any tunnel using certs for authentication was potentially compromised. A remote endpoint presents a stolen cert and they could potentially link up to you.

    Someone using your existing certs could pretend to be your user portal. User enters their credentials into the fake user portal and the attacker now has passwords into part of your system.

    The list goes on.
Reply
  • 0 in reply to stealthmatt_01
    I also think that's its an overkill to regenerate every certificate for the UTM (and also a pain in the butt), as it wasn't a certificate issue but the way in which the protocol was handling the connection to the client. So all we have done was apply the patch and changed high level admin passwords on the UTM.

    The reason certificates had to be regenerated was because the vulnerability potentially allowed an attacker to steal your existing certs, thereby allowing them to pretend to be you. Because the cert is valid, there's no way the victim could tell they weren't talking to you, especially if the cert used a DNS name.

    If you used PSK and a password for VPN tunnels (S2S & roadwarrior) you are okay but any tunnel using certs for authentication was potentially compromised. A remote endpoint presents a stolen cert and they could potentially link up to you.

    Someone using your existing certs could pretend to be your user portal. User enters their credentials into the fake user portal and the attacker now has passwords into part of your system.

    The list goes on.
Children
No Data