Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 51 replies
  • Subscribers 38 subscribers
  • Views 22708 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Update für OpenSSL

moddix
Hallo zusammen,

habt ihr das Update gemacht betreffend OpenSSL?

Infos:

Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL | heise Security

Sophos UTM v.9.201023
News
 - Official 9.2 GA Release - update from 9.200
 - Fix: OpenSSL vulnerability: TLS heartbeat read overrun (CVE-2014-0160)


This thread was automatically locked due to age.
  • 0
    Gute Nachricht, Sophos hat das Update heute Nachmittag ausgetauscht!

    2014:04:10-14:40:03 utm audld[13130]: Starting Up2Date Package Downloader
    2014:04:10-14:40:03 utm audld[13130]: patch up2date possible
    2014:04:10-14:40:13 utm audld[13130]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"
    2014:04:10-14:40:13 utm audld[13130]: id="3707" severity="info" sys="system" sub="up2date" name="Successfully synchronized fileset" status="success" action="download" package="avira3"
    2014:04:10-14:40:14 utm audld[13130]: >=========================================================================
    2014:04:10-14:40:14 utm audld[13130]: existing local file 'u2d-sys-9.200011-201023.tgz.gpg' has wrong checksum
    2014:04:10-14:40:14 utm audld[13130]: 
    2014:04:10-14:40:14 utm audld[13130]:  1. Modules::Getupdates::sync_local:1090() audld.pl
    2014:04:10-14:40:14 utm audld[13130]:  2. main:[:D]ownload:744() audld.pl
    2014:04:10-14:40:14 utm audld[13130]:  3. main::run:442() audld.pl
    2014:04:10-14:40:14 utm audld[13130]:  4. main::top-level:27() audld.pl
    2014:04:10-14:40:14 utm audld[13130]: |=========================================================================
    2014:04:10-14:40:14 utm audld[13130]: Deleted lingering download files:
    2014:04:10-14:40:14 utm audld[13130]:   u2d-sys-9.200011-201023.tgz.gpg
    2014:04:10-14:41:08 utm audld[13130]: =========================================================================
    2014:04:10-14:41:13 utm auisys[13304]: Another instance of this process is already running, exiting
    2014:04:10-14:41:13 utm auisys[13304]: pids currently running: 13276 13278 13282 (my pid: 13304, parent pid: 13303)
    2014:04:10-14:41:13 utm auisys[13304]: 
    2014:04:10-14:41:13 utm auisys[13304]:  1. main::auisys_prepare_and_work:300() auisys.pl
    2014:04:10-14:41:13 utm auisys[13304]:  2. main::top-level:32() auisys.pl
    2014:04:10-14:41:22 utm auisys[13276]: Unpacking installation instructions
    2014:04:10-14:41:24 utm auisys[13276]: Unpacking up2date package container
    2014:04:10-14:41:26 utm auisys[13276]: Running pre-installation checks
    2014:04:10-14:41:35 utm auisys[13276]: Not installing optional ep-branding-ASG-afg
    2014:04:10-14:41:35 utm auisys[13276]: Not installing optional ep-branding-ASG-ang
    2014:04:10-14:41:35 utm auisys[13276]: Not installing optional ep-branding-ASG-atg
    2014:04:10-14:41:36 utm auisys[13276]: Not installing optional ep-branding-ASG-aug
    2014:04:10-14:41:38 utm auisys[13276]: Not installing optional ep-localization-afg
    2014:04:10-14:41:38 utm auisys[13276]: Not installing optional ep-localization-ang
    2014:04:10-14:41:39 utm auisys[13276]: Not installing optional ep-localization-atg
    2014:04:10-14:41:39 utm auisys[13276]: Not installing optional ep-localization-aug
    2014:04:10-14:41:42 utm auisys[13276]: Not installing optional kernel-smp
    2014:04:10-14:41:44 utm auisys[13276]: Creating automatic configuration backup
    2014:04:10-14:41:49 utm auisys[13276]: Starting up2date package installation
    2014:04:10-14:43:53 utm auisys[13276]: id="371Z" severity="info" sys="system" sub="up2date" name="Successfully installed Up2Date package" status="success" action="install" package_version="9.201023" package="sys"
    2014:04:10-14:43:53 utm auisys[13276]: [INFO-302] New Firmware Up2Date installed


    Installation auf Software Appliance läuft [:)]
    Danke Sophos!

    Aktuell rolle ich das aktuelle Update aus, aktuell sieht es sehr gut aus.

    Nice gretings
  • 0
    Hallo,

    Das nicht erreichen meiner https-Webseiten hatte nichts mit dem Update bzw. der CAs zu tun. Trotzdem vielen Dank!

    Kallimero
  • 0 in reply to GuyFawkes
    OK, meine Prozedur läuft wie folgt:
    1. die vorhandenen Interfaces auf eine NICHT redX-Schnittstelle binden (wenn frei, bspw. eth7)
    2. Falls nicht, tuts auch eine vorhandene VLAN-konfigurierte Schnittstelle
    3. Das zu verschiebenden Interfaces auf die besagt Schnittstelle binden mit neuer oder erweiterter VLAN-ID
    4. Das redX sind somit frei und alle Reds können gelöscht werden
    5. Nach dem Neuanlegen der redsX die Schnittstellen wieder zurück binden.

    Damit geht mir nichts flöhten.

    Gruß
  • 0
    Jo, steht auch hier in den Knowledgebase Artikel von Sophos.

    Anleitung: Heartbleed: Recommended steps for UTM 

    Nice greetings
  • 0
    Hi zäme,

    es gab eine Änderung in der Anleitung:

    First you have to regenerate the CA for the WebAdmin:
    1.Login to the shell of the UTM first as loginuser and then get root: su -
    2.Now type in the following command to open the ConfdClient: cc
    3.Within the ConfdClient type use the command: RAW
    4.Now regenerate the CA with: 
    ca_generate_signing_ca({name=>'webadmin ca', key_size=>2048, country=>'CountryAcronym', state=>'StateName', city=>'CityName', organization=>'OrganizationName', common_name=>'UTMhostname', email=>'mailaddress@maildomain.com'})
    Note: The result should be result: 'REF_CaSigWebadminCa2'
    5.Next step is to switch to Main Mode: MAIN
    6.Navigate to: webadmin > ca$
    7.The last step is to assign the new CA to the WebAdmin with: =REF_CaSigWebadminCa2
    Note: The result should be 1.

    Da dies vorher nicht stand, muss man dies nachholen?

    *hab ich etwas verpasst?*

    Danke für Hilfe
  • 0
    ca_generate_signing_ca({name=>'webadmin ca', key_size=>2048, country=>'CountryAcronym', state=>'StateName', city=>'CityName', organization=>'OrganizationName', common_name=>'UTMhostname', email=>'mailaddress@maildomain.com'})

    Note: Adapt the country, state, city, organization, common_name and email strings to your own UTM settings (country field must be in caps - eg. CA, DE)


    Was ist mit dem StateName?
  • 0 in reply to moddix
    Der SSL Client ist immer noch V 2.1. Somit müsste es reichen nur die Certs austauschen + neues Password.
    Oder sehe ich das falsch ?

    EDIT:
    Sophos hat vergessen die Version im Client zu ändern, aber die DLLs schon ausgetauscht.
  • 0
    Es ist ja keine neue Version des Clients an sich sondern nur der verwendeten OpenSSL library.
  • 0 in reply to trollvottel
    Neue DLLs, neue EXE, wäre es nicht sinnvoller direkt die Version anzuheben ? Wie soll Lieschen Müller sonst wissen ob sie eine sichere Version 2.1 verwendet oder eine unsichere 2.1 ?
  • 0
    Grundsätzlich wäre auf Grund der Sichtbarkeit für User ein Versionssprung gar nicht so verkehrt.

    Aber man muss ja schon sagen, dass es hier primär um die Server geht.


    Sind Server und Clients betroffen?

    Ja, allerdings in unterschiedlichem Ausmaß. Ein Angriff auf einen Server ist trivial und lässt sich durch einen simplen Verbindungsaufbau mit Hilfe eines manipulierten Datenpakets durchführen. Bei einem Client muss ein Angreifer entweder eine Man-in-the-Middle-Attacke durchführen oder das Opfer dazu bringen, sich mit einem manipulierten Server zu verbinden.


    Nice greetings
Unfiltered HTML