Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 1235 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Heads up: issue with OpenSSL not patched yet

StephaneGROBETY
Just giving you a heads up: OpenSSL released a new version with several critical fix today. The most critical one (CVE-2014-0195) could lead to arbitrary code execution on the server in the context of the OpenSSL/OpenVPN process.

The flaw affects DTLS (i.e.  mostly TLS over UDP) so, as far as I understand it, the impacted component should be the  Cisco VPN client, possibly the Amazon VPC client and most likely all SSL S2S or end point that uses UDP instead of TCP.

You might want to consider limiting access to these services to known good network ranges until a patch is released.


This thread was automatically locked due to age.
Parents
  • 0
    While we are still investigating which vulnerabilities may impact the Sophos UTM, we currently believe it is only the man-in-the-middle vulnerability (CVE-2014-0224).  

    The dev teams are actively working on patches.  A list of affected products and the expected patch availability has been posted on the Sophos Blog.  Please check back for additional information as it becomes available.
     
    Thanks!
    - Chris.
    Sophos NSG Team
Reply
  • 0
    While we are still investigating which vulnerabilities may impact the Sophos UTM, we currently believe it is only the man-in-the-middle vulnerability (CVE-2014-0224).  

    The dev teams are actively working on patches.  A list of affected products and the expected patch availability has been posted on the Sophos Blog.  Please check back for additional information as it becomes available.
     
    Thanks!
    - Chris.
    Sophos NSG Team
Children
No Data