Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 51 replies
  • Subscribers 38 subscribers
  • Views 22861 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Update für OpenSSL

moddix
Hallo zusammen,

habt ihr das Update gemacht betreffend OpenSSL?

Infos:

Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL | heise Security

Sophos UTM v.9.201023
News
 - Official 9.2 GA Release - update from 9.200
 - Fix: OpenSSL vulnerability: TLS heartbeat read overrun (CVE-2014-0160)


This thread was automatically locked due to age.
  • 0 in reply to GuyFawkes
    Auch wenn nur vorwiegend Server betroffen sind,
    hätte man die Version anheben sollen. Sophos hat hier nur gepennt.
    Jetzt installieren alle die "gepachte" 2.1 
    Und nächste Woche geht's nochmal los mit 2.1a oder 2.2 , oder wie auch immer die Version heissen wird.

    QA hat gepennt, auch wenn Trollvoll es anders sieht.
    Sophos kann nix für den Bug, aber bei Updates erwarte ich eine klare Linie.
  • 0 in reply to gkemter
    QA hat gepennt, auch wenn Trollvoll es anders sieht. Sophos kann nix für den Bug, aber bei Updates erwarte ich eine klare Linie.

    1. Mir gefällt Deine Ausdrucksweise nicht.
    2. Mein Nickname lautet anders.
    3. QA hat ganz sicher nicht "gepennt" - Der SSL Client wurde geprüft und die gefixte Library ist enthalten. Check.
    4. Wann und wie wir eine Version anheben bleibt uns überlassen und ist nicht per se ein Problem nur weil die Vorgehensweise nicht Deiner Erwartung entspricht.
    5. Ich persönlich teile die Meinung, dass bei jedweder Änderung die Version in irgend einer Art angehoben werden sollte - Ganz generell.
  • 0 in reply to trollvottel
    Hi

    Mal eine ganz dumme Frage. Was passiert, wenn ich nur das Update aufspiele und nicht die Zertifikate ändere. Liegt der Fehler auch im Zertifikat oder ist das nur eine Sicherheitsmaßnahme.
  • 0
    Sicherheitsmaßnahme die tatsächlich durchgeführt werden sollte, wenn einem die Sicherheit und Vertraulichkeit wichtig sind.

    Die Lücke könnte in der Vergangenheit ausgenutzt worden sein und z.B. der Private-Key eines oder mehrerer Zertifikate abgegriffen. Wenn die Zertifikate nicht erneuert werden, kann in diesem Fall weiterhin abgehört oder manipuliert werden. Bei Server-Zertifikaten umso fataler: Ein erbeutetes Zertifikat kann für perfektes Phishing genutzt werden, z.B. das einer Bank. Deswegen müssen solche Zertifikate unbedingt auch von der Zertifizierungsstelle zurückgezogen werden.

    Das Problem ist: Man weiß es nicht ob und was abgegriffen wurde! Es gibt keinerlei Logs oder Hinweise ob die Lücke ausgenutzt wurde. Allein diese Tatsache sollte jedem zu denken geben, ob man den Trust wiederherstellen muss.
  • 0
    Hi Mario,

    ich habe immer noch die Frage offen wie das mit dem austauschen des Zertifikates läuft.

    Ich habe die Anleitung befolgt bevor die Details mit dem Shell drin standen.

    Wie ist dies zu handhaben?

    ---> Posts weiter hinten...

    Danke.
  • 0
    ich kann machen was ich will, auf den UTMs geht das Update nicht.
    Egal, ob ich es vom Astaroserver ziehen lasse, oder selber als File zur Verfügung stelle.

    Woran kann das liegen?


    EDIT:
    kann es sein, das der IE hier ab und zu Probleme macht?
    Nach einem beherzten neu starten der UTM und einem hin und her mit  der Manuellen Einstellung ist nun alles aktuell.
    Im Firefox schaut das auch etwas "besser" aus.
  • 0
    Hallo,
    habe das Update Heute eingespielt - hat alles funktioniert. System läuft.

    Vor wenigen Tagen war ich bei Sophos, dort wurde am Rande auch dieses Update erwähnt. Ein Techniker meinte jedoch, dass das SSL Problem allein mit dem Update nicht getan wäre, man sollte die Zertifikate alle erneuern.

    Habt Ihr das gemacht oder was haltet Ihr davon ?

    Gruß
    Albe
  • 0
    Ja, les dir die letzten Seiten durch bzw. die letzten Posts (sogar auf dieser Seite) [;)]

    Sehe ich auch so, dass man das Update machen sollte und auch die entsprechenden Schritte.
    Ist zwar bei Firmen ein echt großer Aufwand, daher scheuen es auch einige. Aber wenn man sicher gehen will, dann geht kein Weg daran vorbei.

    Stell dir vor, du verlierst deinen Haustürschlüssel und wohnst zufällig genau neben einem Schlüsselmacher.
    Zwei Tage später, hängt ein Schild beim Schlüsselmacher: "Kann keine Ersatzschlüssel mehr anfertigen, habe keine Schlüssel mehr."
    Du gehst nach Hause und in deiner Wohnungstür steckt dein Schlüssel. Gehst rein, es fehlt aber nix.
    Würdest du deine Schlösser tauschen?





    Nice greetings
  • 0 in reply to trollvottel
     und z.B. der Private-Key eines oder mehrerer Zertifikate abgegriffen. Wenn die Zertifikate nicht erneuert werden, kann in diesem Fall weiterhin abgehört oder manipuliert werden. 
     Die sogenannte Man-in-the-Middle-Attack? Und dazu die Zertifikate, die nicht in den CRLs stehen? Wieso heißt es eigentlich immer, die Zertifikate müssen getauscht werden und "wir" brauchen ein neues CSR dafür - aber fast nirgends steht, dass das alles sinnfrei ist, wenn der gleich Key genutzt wird! Hier geht man von der allgemeinen Annahme aus, dass die dafür genutzten Prozesse immer einen neuen Key generieren.

    Meiner Meinung nach ist das ein Ereignis, das beweist, wir relevant Produkthaftung auch bei Software wird. Und damit meine ich nicht OpenSSL, sondern Sophos, F-Secure, Cisco etc.
Unfiltered HTML