Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2652 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Massive linux-related bug: CVE-2014-0092

SalishSwede
"The bug in the GnuTLS library makes  it trivial for attackers to bypass secure sockets layer (SSL) and  Transport Layer Security (TLS) protections available on websites that  depend on the open source package. Initial estimates included in Internet discussions such as this one  indicate that more than 200 different operating systems or applications  rely on GnuTLS to implement crucial SSL and TLS operations, but it  wouldn't be surprising if the actual number is much higher."

Do we know what the risks to Sophos-protected networks are?

This article explains it fairly well.
Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping | Ars Technica


This thread was automatically locked due to age.
  • 0
    Hi, this is just speculation, but...

    Assuming Sophos releases any needed patches for the firewall itself...

    Then presumably, using Web Protection with (transparent) SSL proxying, and using Web Server Protection (WAF) for any servers you are hosting,
    that should be enough to protect all https/port 443 traffic.

    Other apps (non port 443) would have to be patched, unless they are using other proxies (POP3s, etc.)

    Barry
  • 0 in reply to BarryG
    The purpose of my post was to identify that which was assumed away in yours.
    Sophos Admins needs to know when/if their networks are at risk.

    To clarify:
    1. Is there code within Sophos UTM that is affected by this alert?
    2. If #1, have patches been tested and released for them?
    3. if not #2, when will we see these released?
  • 0 in reply to SalishSwede
    Manually scanning the up2date logs I can see only avira3 & savi being updated today.

    I checked my email server and found that this morning it automatically updated the packages associated with this alert.
  • 0
    Hi, programs/software aren't updated by ruleset updates... it'd have to be a new UTM version, e.g. 9.110 or whatever.

    Any of the UTM's services that do SSL/TLS (WebAdmin, User Portal, https proxies, pop3s proxy, smtp proxy) are probably affected (I'm assuming they all use GNU TLS).

    > rpm -qa|grep tls
    libgnutls26-2.4.1-24.45.1.768.g338214c.rb1
    > version
    Current software version...: 9.106017

    Note that this is a (potential) eavesdropping vulnerability, NOT a remote root or other exploit.

    Barry
  • 0 in reply to BarryG
    Thanks... nice info and clarification.
  • 0
    I might be wrong about some of those; I just checked Apache httpd on another system, and it uses openssl, but does not use a TLS library.

    So not all systems that use SSL use TLS.

    Barry
  • 0
    GnuTLS and OpenSSL are two different open source implementations of the TLS and SSL protocol. So *both* projects can be used to implement the TLS *and* SSL protocol.

    We use for almost only the openssl library with its own implementation [1]. Except for the "IPv6 Tunnel Broker Client AICCU" here we depend on the gnutls library [2]. 

    [1] # for i in $(rpm -qa | grep 'openssl'); do for cap in $(rpm -q --provides $i); do rpm -q --whatrequires $cap | grep -v 'no package'; done; done
    [2] # for i in $(rpm -qa | grep 'gnutls'); do for cap in $(rpm -q --provides $i); do rpm -q --whatrequires $cap | grep -v 'no package'; done; done;