SSL Bug Heartbleed!

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
kidlark
Beiträge: 53
Registriert: Do 14.05.2009, 13:20

SSL Bug Heartbleed!

Beitrag von kidlark »

Hallo Securepoint,

sind die Securepoint-UTMs betroffen und wenn ja, wie ist damit umzugehen?


Grüße

Georg

kidlark
Beiträge: 53
Registriert: Do 14.05.2009, 13:20

Beitrag von kidlark »

Hallo Forum,

nach dem ich zu erst nichts fand, doch was aus dem Forum, nur "gut" versteckt.

Hallo zusammen,

das UTM Update Version 11.4.1.3 steht als Online-Update ab sofort zur Verfügung.

Die Änderungen sind, wie immer, im Changelog ersichtlich:

http://wiki.securepoint.de/index.php/Ch ... d_11.4.1.3

Die Änderungen beinhalten unter anderem einen Fix für ein kritisches Sicherheitsproblem mit der OpenSSL Library. Bei UTMs mit der Version 11.4.1.2 sollte das Update zügig eingespielt werden. Die anderen Versionen, inklusive der 10er Version der UTM, sind davon nicht betroffen.

-------------

Wie gesagt nicht von mir, bei Securepoint Announcements gefunden, Autor Oliver.

Eventuell ein klitzekleiner Tip an die Securepoints. Solche Informationen dürfen gerne den Weg auf die Heimseite finden.

Grüße
Georg

divox
Beiträge: 6
Registriert: Di 05.11.2013, 20:00

Beitrag von divox »

Hallo,

ist es nun nötig nach dem Openssl Bug, die UTM Zertifikate (USER, VPN, und auch das CA-Zertifikat) zu erneuern?

mfg

Divox

monstermania
Beiträge: 40
Registriert: Do 27.03.2014, 12:44
Wohnort: Hamburg

Beitrag von monstermania »

Moin,
so wie ich das bis jetzt verstehe dürfte bei SP eh nur Build 11.4.1.2 von dem Problem betroffen sein. Diese Version war ab dem 26.03. verfügbar.
Alle die eine ältere Version eingesetzt haben sind von dem Problem eh nicht betroffen.

Die Frage, ob nun die Zertifikate ausgetauscht werden müssen hängt ja davon ab, ob die Zertifikate überhaupt im Internet angreifbar waren. Also, wenn Du über die SP UTM SSL-Dienste veröffentlicht hast (z.B. Webserver) und dafür als Zertifikatserver einen von der Open-SSL Lücke betroffenen Zertifikatsserver genutzt hast (z.B. obige SP UTM 11.4.1.2) dann würde ich die Zertifikate sicherheitshalber austauschen.
Wenn die SP eh nicht öffentlich verfügbar war, sehe ich das Risiko als sehr gering an, dass jemand das Serverzertifikat klauen konnte. Das wäre dann ja nur über einen Client möglich, der eine VPN-Verbindung zur SP gehabt hätte... Also quasi von Intern.

Gruß
Dirk

Antworten