Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 53 replies
  • Subscribers 2 subscribers
  • Views 27464 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.201 with OpenSSL vulnerability fix released

ebegoc
[UPDATE: We have exchanged the RPM package for this Up2Date due to the LCM bug formerly reported. No changes in version or file name - only checksum changed.]

We just released an up2date package for UTM 9.2 which will bring UTM 9.200 (soft-release) to 9.201. This will also be the official GA release!

Beside several bug fixes you will find the fix for the formerly reported OpenSSL Heartbleed vulnerability.

UTM Up2Date 9.200 to 9.201
Link: ftp://ftp.astaro.de/UTM/v9/up2date/u2d-sys-9.200011-201023.tgz.gpg
Size: ~116MB
MD5: cb77b378fae1fe652c6299d65fb409c6

Sophos UTM v.9.201023
News
- Official 9.2 GA Release - update from 9.200
- Fix: OpenSSL vulnerability: TLS heartbeat read overrun (CVE-2014-0160)

Remarks
- System will be rebooted
- Configuration will be upgraded
- Connected Wifi APs will perform firmware upgrade
- Connected RED devices will perform firmware upgrade

Bugfixes
28439 vpn site2site overwiev is missing ipsec respondOnly connections
28953 Object Changelog PopUp can not be closed in IE9
29356 [BETA] RED50 reconnects all the time
29419 [BETA] Web Policy tester and http.log do not display modifications by local site list
29501 Transparent AD SSO conflicts with WAF (port 80)
29748 [BETA] changing OTP has no effect on WAF
29843 [BETA] Changing AV Scanners cause memory spikes in http proxy
30389 [BETA] http cache fills up partition
30441 [BETA] SPX encryption has higher priority than SMIME or PGP encryption
30446 [BETA] SPX: some characters in mail subject lead to broken subject in pdf
30561 [BETA] Username with \ is seen in sAMAccountName with \
30571 Add option to disable OTP for Webadmin/SSH from front panel LCD of UTM appliance
30637 [BETA] Handling Filter actions used in multiple policies
30701 [BETA] SPX: labels of original message are not correctly encoded in spx reply
30723 RED 10 stops working while handling large packets
30869 [BETA] DLP: Region selector of ""Sophos CCL Rules"" doesn't show the first element
30898 OTP: Token may be created for wrong user if remote/local user differ in case
30925 SPX: character sets other than UTF-8 break PDF and portal
30934 Incorrect Certificate used during Transparent HTTPS
30940 Wireless: Some SSIDs are shown as HASH(...) in WebAdmin
30945 ATP Dashboard Link & Reporting Issue (72h not visible)
30949 smtp scanner dies in combination with SPX and regular email encryption
30951 Outgoing mails get quarantined as ""UNSCANNABLE"" although ""Quarantine unscannable and encrypted content"" is disabled
31368 CVE-2014-0160: TLS heartbeat read overrun [9.2]

Regards,
Eric


This thread was automatically locked due to age.
  • 0 in reply to AEX
    Is it "safe" to update a 2-node HA cluster of ASG UTM220 running 9.111-7 to the newly minted 9.201 (9.200011-201023.tgz.gpg) with MD5 of cb77b378fae1fe652c6299d65fb409c6 

    I am asking because last night I scheduled an automatic upgrade to 9.111-7 and it totally botched. Problem with the Intel NIC driver caused our main WAN link on eth1 as well as eth3 which was being used for HAsync to fail, so the cluster went "zombie" with one node stuck in eternal "SYNCING". I was able to SSH in on one of the other interfaces and after a few reboots things eventually stabilized (not sure exactly WHY)

    This morning I got complaints that all websites were returning a "blocked" page from the proxy saying "host not found". I had to SSH in and restard named ([FONT="Courier New"]/var/mdw/scripts/named restart[/FONT]) to fix that.

    Now I am a little scared to update further as so far the last 24 hours have been a little hectic!! [:P]
  • 0
    Hello together,

    the new update seems to work fine. Installation finished successfully, but no automatic reboot? I rebooted my UTM to be sure that everything is correct applied.

    With updating the UTM there is a need to update the Sophos VPN client, too. So it's the best to renew the certificates and download the new client package from the user Portal.

    Thank you, Sophos, for your quick fix of the fix [:)]

    Kind regards

    TheExpert
  • 0 in reply to luckman212
    Is it "safe" to update a 2-node HA cluster of ASG UTM220 running 9.111-7 to the newly minted 9.201 (9.200011-201023.tgz.gpg) with MD5 of cb77b378fae1fe652c6299d65fb409c6 

    There is currently no update from 9.111 to 9.201. The up2date you metioned is only for UTMs running 9.200-11.

    It's planned and we are a bit late. Sorry for that.
  • 0 in reply to snowcrash_01
    There is currently no update from 9.111 to 9.201. The up2date you metioned is only for UTMs running 9.200-11.

    It's planned and we are a bit late. Sorry for that.

    Ok glad I asked before trying to manually apply it! Ok will wait it out ... having lots of problems today with 9.111-7 [:(]
  • 0 in reply to luckman212
    I got an signature error on installing the newest 9.2 Patch on a "semi broken" ha cluster:

    the up2date failed this morning on the slave node (lcm problem!) and the node is on ha status "up2date" but with the new version. Master node is untouched.

    A reboot doesn't change anything on this status, the /etc/versions file shows the new version, the openssl package is also new version but the node is not working. If I reboot the master the cluster is completle down and node 2 doesn't take over. 

    Another try with an new released and manually uploaded u2d package to the slave node and manual start from the shell brings the error: 

    Installing up2date package version 9.201023

    Verifying up2date package signature

    FATAL: Could not extract tar from gpg: 'This package is not signed with the key required for this type of package'


    Logfile says: 


    2014:04:10-14:59:13 asg1-2 auisys[26117]: Starting Up2Date Package Installer

    2014:04:10-14:59:13 asg1-2 auisys[26117]: no u2d-sumgm-man4 RPM installed

    2014:04:10-14:59:13 asg1-2 auisys[26117]: Searching for available up2date packages for type 'sumgm-man4'

    2014:04:10-14:59:13 asg1-2 auisys[26117]: Installing up2date package file '/var/up2date/sys//u2d-sys-9.200011-201023.tgz.gpg'

    2014:04:10-14:59:13 asg1-2 auisys[26117]: no u2d-sumgm-man4 RPM installed

    2014:04:10-14:59:13 asg1-2 auisys[26117]: Verifying up2date package signature

    2014:04:10-14:59:16 asg1-2 auisys[26117]: >=========================================================================

    2014:04:10-14:59:16 asg1-2 auisys[26117]: id="371F" severity="error" sys="system" sub="up2date" name="Fatal: Could not extract tar from gpg: 'This package is not signed with the key required for this type of package'" status="failed" file="/var/up2date/sys//u2d-sys-9.200011-201023.tgz.gpg" action="install" package="sumgm-man4"

    2014:04:10-14:59:16 asg1-2 auisys[26117]:

    2014:04:10-14:59:16 asg1-2 auisys[26117]:  1. main::alf:70() auisys.pl

    2014:04:10-14:59:16 asg1-2 auisys[26117]:  2. main:[:P]erform_work:929() auisys.pl

    2014:04:10-14:59:16 asg1-2 auisys[26117]:  3. main::auisys_prepare_and_work:555() auisys.pl

    2014:04:10-14:59:16 asg1-2 auisys[26117]:  4. main::top-level:32() auisys.pl


    the md5 sum for the files are ok, I can extract the gpg file and it seems to be ok but the u2d process fails. 

    I'm not shure if i really want to try to update the master node now.
    My u2d start command was :
    auisys.plx --transferdir /var/up2date/sys/ --nocleanup --rpmreinstall --rpmargs -force
  • 0
    Note that we have an updated package! See change in the sticky post!

    We have fixed the LCM bug and now the Up2Date package will correctly install. If you want to be absolutely sure to grab the right package you may fetch the one from the FTP manually as this will save some time.

    -Eric
  • 0
    New Update-File from 10-04-2014 14:14 is installable.
    But no restart from the maschine.

    regrads peter
  • 0
    I'm with Bob. Need that 9.111-7 to 9.2 upgrade path.
  • 0
    To do as Eric suggests above, follow the instructions I gave in utm 9-110-9-111 heartbleed fix released, adapting them to 9.2.  After the initial ls -l, if the Up2Date you want to replace is there, you should rm it first.

    Cheers - Bob
  • 0 in reply to BAlfson
    Up graded three UTMs with the up2date package.
    Two of the UTMs were built from the 9.2b soft release ISO and the third was an upgrade from 9.1.

    All 3 devices are running correctly.


    Ian