Heartbleed: Can SOPHOS be trusted anymore?

Hi ,

This bug does not come from Sophos .
It is a worldwide issue that lots of systems suffered from it , one of them is Google.
This bug hits everyone that uses the OpenVpn and there are many from the most famous companies that use it.
Once the bug has been discovered , a patch was released to all affected versions , so what's complain can you point on Sophos ???


All my best.
Gilipeled

I think if you check around, you'll find that many other vendors were and are affected by this particular bug; it's an effect of using a common library in many different tools and systems (not unlike other products and software libraries used elsewhere).  Other vendors (with much larger footprints, budgets, developer counts, etc.) have had as serious or more serious issues with their products (names need not be mentioned here -- let's just say if you subscribe to US-CERT you'll know who I'm talking about) -- security is an ongoing battle, and so long as vendors respond in a responsible and timely matter to threats, and do not have an ongoing pattern of lack of care or response to security issues, I don't think you can say you shouldn't "trust" them.

I heard a computer scientist say once that finding software errors is like finding one misspelled name in the Beijing telephone book ... I have oft used that line in explaining software failures and issues to customers and associates alike.  I'm sure moving forward that the open source community will be reviewing and testing important libraries such as OpenSSL, etc. much more stringently moving forward (indeed, there is already a movement underway to do so).  I don't think you can blame Sophos for this -- they were using a library that was generally accepted by the industry as safe to use, just as many others were.

We cannot quantify the amount headache caused by openssl vuln. The main question popped by my senior management is " Can we trust Sophos? ".

Frankly, I have no answer. The UTMs were a recent deployment in our network - we moved away from a major competitor to you. There were many stability issues but we persevered at times justifying the cost savings. But with this bug and delays from Sophos, the question falls flat on us. 

What do you think?

I have to be honest here - this is the most narrow-minded thing I've seen so far about Heartbleed.  Sophos is not the only one with vulnerabilities, nor is it the only one specific with Heartbleed.  There are many, MANY others with the same issue - it's OpenSSL based - not Sophos based.  For you to blame Sophos specifically is flat out irresponsible and biased.

Sure, they have their issues - but nothing they aren't or have not worked through... just like any other company.

First, Hoffmann, welcome to the User BB!

The answer is that there's no one to trust 100%.  This affected 85% of the web servers in the world.  IBM's biggest, most-expensive storage still has this vulnerability.

Your management needs a better understanding of IT if it is mission-critical in your organization, and you can tell them I said that.

Cheers - Bob

We cannot quantify the amount headache caused by openssl vuln. The main question popped by my senior management is " Can we trust Sophos? ".

Frankly, I have no answer. The UTMs were a recent deployment in our network - we moved away from a major competitor to you. There were many stability issues but we persevered at times justifying the cost savings. But with this bug and delays from Sophos, the question falls flat on us. 

What do you think?

yes you can.  this one was caused by the folks at openssl not sophos.  I question whether openssl is able to be trusted due to several issues they've had recently..i think we have an internet security monoculture in regards to ssl/tls encryption and im not sure a single opensource project is the answer.  

In regard to sophos they were running the latest version to guard against other flaws in openssl..this one is totally on openssl not sophos.

We cannot quantify the amount headache caused by openssl vuln. The main question popped by my senior management is " Can we trust Sophos? ".

Frankly, I have no answer. The UTMs were a recent deployment in our network - we moved away from a major competitor to you. There were many stability issues but we persevered at times justifying the cost savings. But with this bug and delays from Sophos, the question falls flat on us. 

What do you think?

Hallo,

have a look how fast and transparent sophos managed this problem and compare the result with other manufacturers of firewalls and UTMS.


Ralf




Ralf

Hi hoffmannc,
I think in the case of your company can you trust the IT team to brief senior management correctly.
The company I work for don't use Sophos, but competing products and the updates for them haven't been released or were released late last week.

Some of the products we use require vendors or outsourced companies to update their products. 
So how does your company rate your outsourced or vendor support for other products eg the ssl on your road warriors?

Ian

I can understand the original posters frustration. I have come from 9.0 era through to 9.1 and now looking at 9.2.

While yes each new patch/update fixes issues. There has been some serious bugs crop up throughout the 9.0 to 9.1 cycle, in relation to memory and reds dropping off etc. Even the 9.1 release was a big mess up as it wasn't ready to be sent out to production customers and caused so many headaches for people who adopted it early because of the "wow factor" of all the new features.

I myself has been highly annoyed and frustrated with the lack of support and issues we have experienced - So I really do understand your frustration. 

As a result of experience, I have learnt not to be so hasty with Sophos updates, I really want to jump on the 9.2 bandwagon (we jumped at it for 9.1) but I have held off until they release 9.202, as we feel this will be the version to go at.

However, in relation to this OpenSSL issue it wasn't really anything to do with Sophos, there responsibility in this situation was to ensure they notified customers and had a fix for their products. Which I believe they did fairly well. However, there was no way I was going to update straight away, so I had left it for a few days.

I also think that's its an overkill to regenerate every certificate for the UTM (and also a pain in the butt), as it wasn't a certificate issue but the way in which the protocol was handling the connection to the client. So all we have done was apply the patch and changed high level admin passwords on the UTM.


The features that Sophos do offer are always improving and the flexibility of the REDs to easily deploy a branch is something I have never come across before and really enjoy working with these devices. Also the reporting functionality is one of the best I have seen and the web protection profiles are really good to customise our environment.

So I guess what I'm saying is while Sophos UTM do have their speed bumps along the way, if you keep at it and work smarter with the device (looking at past experience) you will enjoy it much better. I still have my gripes about certain things but the amount of features available out weigh the negatives (in my opinion ) and they are negatives that I have worked around.

The features that Sophos do offer are always improving and the flexibility of the REDs to easily deploy a branch is something I have never come across before and really enjoy working with these devices. Also the reporting functionality is one of the best I have seen and the web protection profiles are really good to customise our environment.

This was one of the main reasons for selecting Sophos UTMs. We were running a complex system of Checkpoint, Imperva, Bluecoat, McAfee which was a real pain to manage. Even more so with staff reductions imposed by cost cutting measures in the division. Except for a few quirks, Sophos  made life a lot easier. 

I am not blaming Sophos for the OpenSSL bug. However, they are responsible for the quality control of the products they sell. 

Thanks for being gentle. I am getting punched in the gut for similar posts in Bluecoat and McAfee forums. [:P]

Their quality isn't any worse than anyone else..arguably it's most times better.  The openssl wasn't their issue at all...it wasn't something under their control.  Sophos was actually trying to follow best practices by using the latest version of openssl because of other attacks against that package.