Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Update für OpenSSL

Hallo zusammen,

habt ihr das Update gemacht betreffend OpenSSL?

Infos:

Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL | heise Security

Sophos UTM v.9.201023
News
 - Official 9.2 GA Release - update from 9.200
 - Fix: OpenSSL vulnerability: TLS heartbeat read overrun (CVE-2014-0160)


This thread was automatically locked due to age.
Parents
  • Grundsätzlich wäre auf Grund der Sichtbarkeit für User ein Versionssprung gar nicht so verkehrt.

    Aber man muss ja schon sagen, dass es hier primär um die Server geht.


    Sind Server und Clients betroffen?

    Ja, allerdings in unterschiedlichem Ausmaß. Ein Angriff auf einen Server ist trivial und lässt sich durch einen simplen Verbindungsaufbau mit Hilfe eines manipulierten Datenpakets durchführen. Bei einem Client muss ein Angreifer entweder eine Man-in-the-Middle-Attacke durchführen oder das Opfer dazu bringen, sich mit einem manipulierten Server zu verbinden.


    Nice greetings
  • Auch wenn nur vorwiegend Server betroffen sind,
    hätte man die Version anheben sollen. Sophos hat hier nur gepennt.
    Jetzt installieren alle die "gepachte" 2.1 
    Und nächste Woche geht's nochmal los mit 2.1a oder 2.2 , oder wie auch immer die Version heissen wird.

    QA hat gepennt, auch wenn Trollvoll es anders sieht.
    Sophos kann nix für den Bug, aber bei Updates erwarte ich eine klare Linie.
  • QA hat gepennt, auch wenn Trollvoll es anders sieht. Sophos kann nix für den Bug, aber bei Updates erwarte ich eine klare Linie.

    1. Mir gefällt Deine Ausdrucksweise nicht.
    2. Mein Nickname lautet anders.
    3. QA hat ganz sicher nicht "gepennt" - Der SSL Client wurde geprüft und die gefixte Library ist enthalten. Check.
    4. Wann und wie wir eine Version anheben bleibt uns überlassen und ist nicht per se ein Problem nur weil die Vorgehensweise nicht Deiner Erwartung entspricht.
    5. Ich persönlich teile die Meinung, dass bei jedweder Änderung die Version in irgend einer Art angehoben werden sollte - Ganz generell.
Reply
  • QA hat gepennt, auch wenn Trollvoll es anders sieht. Sophos kann nix für den Bug, aber bei Updates erwarte ich eine klare Linie.

    1. Mir gefällt Deine Ausdrucksweise nicht.
    2. Mein Nickname lautet anders.
    3. QA hat ganz sicher nicht "gepennt" - Der SSL Client wurde geprüft und die gefixte Library ist enthalten. Check.
    4. Wann und wie wir eine Version anheben bleibt uns überlassen und ist nicht per se ein Problem nur weil die Vorgehensweise nicht Deiner Erwartung entspricht.
    5. Ich persönlich teile die Meinung, dass bei jedweder Änderung die Version in irgend einer Art angehoben werden sollte - Ganz generell.
Children
  • Hi

    Mal eine ganz dumme Frage. Was passiert, wenn ich nur das Update aufspiele und nicht die Zertifikate ändere. Liegt der Fehler auch im Zertifikat oder ist das nur eine Sicherheitsmaßnahme.
  • 1. Mir gefällt Deine Ausdrucksweise nicht.
    2. Mein Nickname lautet anders.
    3. QA hat ganz sicher nicht "gepennt" - Der SSL Client wurde geprüft und die gefixte Library ist enthalten. Check.
    4. Wann und wie wir eine Version anheben bleibt uns überlassen und ist nicht per se ein Problem nur weil die Vorgehensweise nicht Deiner Erwartung entspricht.
    5. Ich persönlich teile die Meinung, dass bei jedweder Änderung die Version in irgend einer Art angehoben werden sollte - Ganz generell.


    1. Mir gefällt auch vieles nicht, weine trotzdem nicht rum
    2. Ja, sorry Trollvottel.
    3. Hier gehen unsere Meinungen auseinander. Selbst wenn nur eine Library neu wäre, sollte das Paket eine neue Version-Nr. bekommen. Im aktualisierten Client sind ALLE Dateien neu , nicht nur die ssl.dll.
    4. Klar
    5. Du arbeitest für Astaro/Sophos. Wäre auch blöd , wenn du im Forum deines Arbeitgebers  was negatives äußerst. 

    Im normallfall ist es mir egal ob der Client Astaro oder Sophos heisst, auch die Version wäre mir egal. 

    Nur jetzt besteht Handlungsbedarf, und ich muss mich um rund 30 ASG/UTMs kümmern, wo sich die SSL VPN Userzahlen zwischen 3 und  120
    bewegen. Grob gerechnet rund 700 Clients.
    Dazu muss man noch die Clients rechnen, welche sich zusätzlich zum PC über iMac/Linux oder ein mobiles Gerät einwählen.
    (Die ganzen REDs/IpSEC Tunnel verdränge ich hier erstmal)

    Und jetzt kommst du, und sagts: alles kein Problem : im aktuellen Client ist alles gefixed.
    Und ich frage: welcher ist der aktuelle Client ? Ach 2.1 ?, den habe ich schon lange drauf. Nicht? , ich habe den falschen 2.1, weil das Datum der Dateien anders ist ?. 
    Und wie sieht es aus mit den mobilen Geräten bzw. Mac/Linux ?
    Wie siehts aus mit der CiscoVPn Implementierung in UTM.

    Sind alles noch offene Fragen, wo ich kein klares Statement von Sophos gefunden habe.

    Und da heute was neues mit SSL und Payload gefunden wurde, frage ich mich ob ich noch 2 Wochen warten soll, bis alles gefixed ist.
  • 1. Mir gefällt auch vieles nicht, weine trotzdem nicht rum
    2. Ja, sorry Trollvottel.
    3. Hier gehen unsere Meinungen auseinander. Selbst wenn nur eine Library neu wäre, sollte das Paket eine neue Version-Nr. bekommen. Im aktualisierten Client sind ALLE Dateien neu , nicht nur die ssl.dll.
    4. Klar
    5. Du arbeitest für Astaro/Sophos. Wäre auch blöd , wenn du im Forum deines Arbeitgebers  was negatives äußerst. 


    1.
    Der Vorteil bei persönlichem Kontakt ist, man kann deutlich besser erkennen, was der Gegenüber meint bzw. sagen will. In geschriebener Form, ist das häufig sehr schwer.

    3.
    Ich beziehe mich mal auf diesen Punkt und auch auf die Beschreibung.
    Welche Gründe gegen eine Anhebung der Version sprechen, weiß ich nicht und wir haben auch dasselbe Problem.

    Unter Programme wird der Client unter: Sophos SSL VPN Client 2.1 geführt

    In den Logs steht:
    Tue Apr 15 11:48:36 2014 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Apr  9 2014 

    Leider kann man das nur anhand der Log Einträge und des built Datums prüfen.
    Dem kann ich zustimmt, dass das nicht sehr schön ist. Und uns geht es da ähnlich. Problem was da hinzu kommt, dass wir nicht wissen, wo überall dieser Client installiert wurde und genutzt wird. Unglaublich schwer, dafür eine Lösung zu finden, dass man alle Clients erwischt.

    5.
    Natürlich darf man auch negative Kritik auch den Arbeitgeber außern und auch hier im Forum schreiben.
    Was hier auch viele machen (p.s. ich arbeite nicht bei Sophos [[;)]] ). Allerdings konstruktiv und sachlich, also so, wie man Kritik äußern sollte.
    Bei vielen wird Kritik nur durch nörgeln geäußert. Wenn dann darauf eingegangen wird, wird es echt häufig persönlich genommen.
    Wenn etwas Sc*** läuft oder ist... auch wenn ich ein Schleifchen drum mache, es bleibt Sc***!
    Man muss nicht alles verteidigen und Fehler können eingestanden werden, wenn es Fehler sind. Wenn es sachliche Gründe gibt, dann sollte man die auch ernsthaft durchlesen.
    Fehler dürfen natürlich nicht passieren, sie werden aber gemacht und das ist Fakt (lassen sich bei so etwas komplexen gar nicht vermeiden), aber der Umgang mit diesen Fehlern, das ist die Kunst und ich glaube, wenn man mal zurückblickend schaut, hat sich doch hier einiges getan.
    Fehlerquote ist doch gesunken und die Reaktionszeit ist gestiegen.

    Die generelle Informationspolitik via Forum und im Blog... kann man sich drüber streiten, aber hat eher was für Zielgruppe: Home User und nicht Big Business [[;)]]

    Und ja, dafür, dass es die größte Sicherheitslücke ist, die es in den letzten Jahren gegeben hat, wurde nicht sofort proaktiv auf die Kunden/Partner zugegangen, also man hat es durch Presse erfahren.
    Informationen gab es, man muss wissen, wo man zu suchen hat. Das ist für den Endkunden nicht schön, aber dafür gibt es ja auch Partner, welche den ganzen lieben langen Tag nix anderes machen, als sich damit beschäftigen.

    Aber telefonisch bekommt man vom Support auch immer sehr viel Informationen.
    Status zu Updates, welche Lösungen ungefähr fertig werden etc. etc. etc.
    Es Programmierer und keine Zauberer und ich unterstelle jetzt mal, dass die ihr Bestes im Sinne der Kunden geben. Wenn die das nicht tun würden, würde es Astaro/Sophos nicht mehr geben.
    Auch hier, schnelle Reaktion, die Fehlerfrei sein muss... beißt sich bisschen, wenn man nicht viel Zeit zum testen haben darf. Auch wenn es um so eine unglaublich kritische Sache handelt. Was ist da wichtiger?

    Nice greetings