This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bash security vulnerbility

Hey Everyone,

With the new news (SHELL SHOCK: Bash bug blows holes in Unix, Linux, OS X systems) about the bash shell today do we know if and when Sophos is going to release a patch for this?  

I apologize if I'm posting this in the wrong section but well none of the other sections looked like this belonged in there.  Thanks.


This thread was automatically locked due to age.
Parents
  • Your mentioned article is disabled by sophos again.

    Here is the Start of the Article, which could be found by google:

    "In the light of the recent Bash vulnerability, Sophos has reviewed all of our products to understand if any are at risk from the vulnerability. We can confirm that none – including Sophos Email Appliance, Sophos Web Appliance, PureMessage for Exchange and SAV for Linux – are vulnerable. The main user-facing components of Sophos UTM..."¨

    Does anybody can provide the rest of the article?

    Due to a short research, the current UTM Version 9.206-35 is using version 3.2.51(1) of bash, which is vulnerable.

    Please send me Spam gueselkuebel@sg-utm.also-solutions.ch


  • Does anybody can provide the rest of the article?

    Yup, it is cached in my RSS reader. Here we go:

    In the light of the recent Bash vulnerability, Sophos has reviewed all of our products to understand if any are at risk from the vulnerability. We can confirm that none – including Sophos Email Appliance, Sophos Web Appliance, PureMessage for Exchange and SAV for Linux – are vulnerable.

    The main user-facing components of Sophos UTM, including the WebAdmin interface and the User Portal, do not use Bash to run commands in a way that would allow this vulnerability to be triggered by data supplied by an attacker from outside. Internal components in the UTM do use Bash, but only to run commands determined by Sophos, not based on data supplied by an outsider.

    As a matter of good security practice, we will be updating Bash as soon as a stable and effective patch is available from the Bash maintainers.

    In the meantime, we are confident that this security hole can’t be reached and exploited from outside the UTM.
Reply

  • Does anybody can provide the rest of the article?

    Yup, it is cached in my RSS reader. Here we go:

    In the light of the recent Bash vulnerability, Sophos has reviewed all of our products to understand if any are at risk from the vulnerability. We can confirm that none – including Sophos Email Appliance, Sophos Web Appliance, PureMessage for Exchange and SAV for Linux – are vulnerable.

    The main user-facing components of Sophos UTM, including the WebAdmin interface and the User Portal, do not use Bash to run commands in a way that would allow this vulnerability to be triggered by data supplied by an attacker from outside. Internal components in the UTM do use Bash, but only to run commands determined by Sophos, not based on data supplied by an outsider.

    As a matter of good security practice, we will be updating Bash as soon as a stable and effective patch is available from the Bash maintainers.

    In the meantime, we are confident that this security hole can’t be reached and exploited from outside the UTM.
Children
  • As I mentioned, if you do not expose command line interfaces to untrusted hosts (the internet) you should be fine until bash is patched.  If you are exposing SSH, for instance, for the UTM to the public internet, you should change that setting.  The console shouldn't be exposed to the public internet in any event anyway, and we never configure it as open access for any customers we do configurations for, it's poor security practice to do so.

    My guess is that Sophos pulled the post to clarify that point...

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.