Bash security vulnerbility

Your mentioned article is disabled by sophos again.

Here is the Start of the Article, which could be found by google:

"In the light of the recent Bash vulnerability, Sophos has reviewed all of our products to understand if any are at risk from the vulnerability. We can confirm that none – including Sophos Email Appliance, Sophos Web Appliance, PureMessage for Exchange and SAV for Linux – are vulnerable. The main user-facing components of Sophos UTM..."¨

Does anybody can provide the rest of the article?

Due to a short research, the current UTM Version 9.206-35 is using version 3.2.51(1) of bash, which is vulnerable.

Does anybody can provide the rest of the article?

Yup, it is cached in my RSS reader. Here we go:

In the light of the recent Bash vulnerability, Sophos has reviewed all of our products to understand if any are at risk from the vulnerability. We can confirm that none – including Sophos Email Appliance, Sophos Web Appliance, PureMessage for Exchange and SAV for Linux – are vulnerable.

The main user-facing components of Sophos UTM, including the WebAdmin interface and the User Portal, do not use Bash to run commands in a way that would allow this vulnerability to be triggered by data supplied by an attacker from outside. Internal components in the UTM do use Bash, but only to run commands determined by Sophos, not based on data supplied by an outsider.

As a matter of good security practice, we will be updating Bash as soon as a stable and effective patch is available from the Bash maintainers.

In the meantime, we are confident that this security hole can’t be reached and exploited from outside the UTM.

As I mentioned, if you do not expose command line interfaces to untrusted hosts (the internet) you should be fine until bash is patched.  If you are exposing SSH, for instance, for the UTM to the public internet, you should change that setting.  The console shouldn't be exposed to the public internet in any event anyway, and we never configure it as open access for any customers we do configurations for, it's poor security practice to do so.

My guess is that Sophos pulled the post to clarify that point...

As I mentioned, if you do not expose command line interfaces to untrusted hosts (the internet) you should be fine until bash is patched.  If you are exposing SSH, for instance, for the UTM to the public internet, you should change that setting.  The console shouldn't be exposed to the public internet in any event anyway, and we never configure it as open access for any customers we do configurations for, it's poor security practice to do so.

My guess is that Sophos pulled the post to clarify that point...