Timeline for patching SSL vulnerability (Heartbleed Bug)

More information about Heartbleed can be found here: http://heartbleed.com

From a security company like Astaro/Sophos I EXPECT the patch to be available today! A security problem this big has to be fixed with highest priority. Also I think it shows that used libraries are not screened enough.

Is there any timeframe for patching this SSL/TLS bug for Astaro Security Gateway V8.
We are on the latest 8.311 (as V8 is an approved appliance for us and V9 is not).

I do not think that 8.311 is vulnerable to this bug as it appears that V8 ships with openssl 0.9.8j-fips.

From a security company like Astaro/Sophos I EXPECT the patch to be available today! A security problem this big has to be fixed with highest priority.

That is true. Where is the update for UTM 9?

Also I think it shows that used libraries are not screened enough.

Given the number of vendors and businesses affected by this, I don't think "enough screening" is the problem here.

drees, you are absolutely right, I just checked:
OpenSSL> version
OpenSSL 0.9.8j-fips 07 Jan 2009
OpenSSL> 
So V8 is not affected by this vulnerability.
The bug is in OpenSSL 1.0.1 through 1.0.1f (inclusive)

Current version 9 IS affected [:(] 1.0.1e

Until an update for UTM 9 is released, I would suggest the following to reduce your attack surface:

1. Make sure that the web UI is only accessible to trusted networks.
2. Disable SSL VPNs like OpenVPN, or only allow access to trusted networks.
3. Any other reverse proxy/relay services that UTM provides will also be vulnerable (HTTPS, possibly SMTP/POP/IMAP, etc).

FWIW, I do see that 9.110 is on the FTP site - anyone know what's in it?

ftp://ftp.astaro.de/UTM/v9/up2date/

FWIW, I do see that 9.110 is on the FTP site - anyone know what's in it?

News  Prevent automatic restart of SixXS Tunnel Broker (aiccu)
Remarks System will be rebooted
Bugfixes 27814 Never selfmon aiccu [9.1]

Not OpenSSL.

u2d-sys-9.109001-200011.tgz.gpg changes:
ep-confd-9.10-248.g3cf8646.i686.rpm
ep-hardware-9.10-15.g9c25d4f.i686.rpm
ep-init-9.10-16.gc5e7e32.noarch.rpm
ep-mdw-9.10-167.gd851a5f.i686.rpm
ep-raidtools-9.10-49.gee6b115.i686.rpm
ep-release-9.110-22.noarch.rpm
ep-webadmin-9.10-200.g40f7221.i686.rpm
kernel-smp-3.8.13.15-10.gc33dd1e.i686.rpm
kernel-smp64-3.8.13.15-10.gc33dd1e.x86_64.rpm
libaio-0.3.109-0.1.46.0.158166989.g501e311.i686.rpm
libudev0-147-0.65.1.1073.g942c431.i686.rpm
mdadm-3.2.6-0.19.9.0.158166782.g61b5131.i686.rpm
megactl-0.4.1-1.0.152032631.ga2c2ee7.i686.rpm
perf-tools-3.8.13.15-10.gc33dd1e.i686.rpm
utm-lcd-0.6-0.159546028.ge65e2cb.i686.rpm
Reason:  "Add support for new SSG line of hardware appliances"

u2d-sys-9.110022-111002.tgz.gpg changes:
(branding)
ipv6-aiccu-20070115-22.g3a8bc92.rb1.i686.rpm
Reason given: "Prevent automatic restart of SixXS Tunnel Broker (aiccu)", "Never selfmon aiccu [9.1]"

You can be sure that we will address this issue as fast as possible.

Can we expect an update today?