trueNetLab logo
MS
Sophos Connect: mengapa admin tidak patut mengejar blog post

Sophos Connect: mengapa admin tidak patut mengejar blog post

9 min read
Network Sophos Security

Jadual kandungan

Sophos Connect 2.5 MR1 untuk Windows sudah tersedia. Pada pandangan pertama, ia kelihatan seperti keluaran penyelenggaraan kecil: beberapa pembetulan klien, satu komponen pihak ketiga dikemas kini, dan muat turun melalui firewall atau terus daripada Sophos.

Tetapi di sinilah masalahnya bermula.

Sophos Connect bukan alat kecil untuk sambungan VPN sekali-sekala. Klien ini berjalan pada endpoint Windows, membina VPN akses jauh, dan bagi banyak organisasi ia ialah laluan terus ke rangkaian dalaman. Apabila alat keselamatan seperti ini mengemas kini pustaka kriptografi penting, maklumat itu tidak patut terasa tersembunyi dalam blog komuniti.

Lebih mengganggu: OpenSSL 3.3.7 diterbitkan pada 7 April 2026. Sophos Connect 2.5 MR1 tiba pada 18 Jun 2026. Itu kira-kira sepuluh minggu. Untuk aplikasi desktop biasa, mungkin itu sekadar kemas kini penyelenggaraan lewat. Untuk klien VPN dengan pustaka kriptografi, jurang itu kurang selesa.

Adakah pengguna perlu membaca blog Sophos untuk tahu klien VPN perlu dikemas kini? Adakah setiap admin IT kecil perlu melanggan suapan komuniti dan berharap mereka nampak keluaran sebegini tepat pada masanya? Untuk alat yang mengendalikan akses jauh, sijil, pengesahan dan penyulitan, itu tidak mencukupi.

Klien VPN ialah infrastruktur keselamatan. Sebab itu kemas kini penting klien tidak boleh wujud hanya sebagai catatan blog.

Apa yang berubah dalam Sophos Connect 2.5 MR1

Sophos mengumumkan Sophos Connect Client 2.5 MR1 untuk Windows pada 18 Jun 2026. Menurut Sophos, ia ialah keluaran penyelenggaraan yang membetulkan beberapa isu yang dilaporkan komuniti.

Perubahan teknikal paling penting dinyatakan dengan jelas:

  • OpenSSL dikemas kini kepada versi 3.3.7.

Ayat itu kedengaran kecil. Dari sudut operasi, ia tidak kecil. Lebih dua bulan berlalu antara keluaran OpenSSL pada 7 April dan versi Sophos Connect pada 18 Jun. Memang wajar jika Sophos perlu menyemak, mengintegrasi, menguji dan membungkus pustaka itu. Tetapi sebab itulah klien keselamatan memerlukan ketelusan: admin tidak sepatutnya perlu menyimpulkan daripada blog bahawa komponen klien menunggu security patch release selama berminggu-minggu.

Sophos juga menyenaraikan beberapa pembetulan:

  • Klien tidak bermula secara automatik untuk pengguna Windows tambahan jika dipasang oleh pengguna lain.
  • Pengguna SSO boleh melihat status VPN yang salah selepas gangguan Internet.
  • Pengguna credential dengan OTP menerima permintaan berbeza semasa reconnect bergantung pada IPsec atau SSL VPN.
  • Pengguna SSO tidak dapat membina sambungan SSL VPN daripada fail provisioning apabila sijil mengandungi aksara khas.

Ini bukan perkara kosmetik. Ini topik akses jauh yang sebenar: permulaan klien, paparan status, SSO, OTP, provisioning dan sijil. Di sinilah helpdesk, admin dan pengguna cepat hilang pandangan jika sesuatu tidak bersih.

Namun OpenSSL 3.3.7 ialah sebab utama keluaran ini penting bagi saya.

Mengapa OpenSSL 3.3.7 relevan

OpenSSL 3.3.7 diterbitkan pada 7 April 2026 sebagai security patch release. OpenSSL sendiri menilai isu paling serius yang dibaiki sebagai Moderate. Itu tidak berbunyi dramatik, tetapi ia juga bukan bugfix biasa.

OpenSSL 3.3.7 membetulkan antara lain:

  • CVE-2026-31790: pengendalian ralat yang salah dalam RSA KEM RSASVE Encapsulation, yang dalam keadaan tertentu boleh menghantar kandungan memori tidak diinisialisasi kepada peer berniat jahat.
  • CVE-2026-28387: potensi use-after-free dalam kod klien DANE.
  • CVE-2026-28388: kemungkinan NULL pointer dereference ketika memproses delta CRL.
  • CVE-2026-28389 dan CVE-2026-28390: kemungkinan NULL dereference ketika memproses struktur CMS EnvelopedData tertentu.
  • CVE-2026-31789: heap buffer overflow ketika penukaran heksadesimal pada platform 32-bit.

Tidak semua kelemahan ini automatik boleh dieksploitasi dalam Sophos Connect. Itu penting. Senarai CVE OpenSSL tidak boleh terus disamakan dengan risiko akut pada setiap klien dan setiap senario.

Tetapi arah sebaliknya juga salah: “Moderate” atau “Low” tidak bermaksud “tidak penting”.

OpenSSL ialah komponen asas. Ia terlibat dalam TLS, pengesahan sijil, operasi kriptografi dan banyak program yang membina sambungan selamat. Jika klien VPN membawa pustaka ini, penyelenggaraannya menjadi sebahagian daripada model keselamatan klien, terutamanya pada notebook yang bergerak, bekerja di rangkaian asing dan menyambung ke persekitaran dalaman.

Mengapa SSL VPN masih relevan di sini

Satu lagi perkara yang mengganggu saya tentang Sophos Connect: klien memasang OpenSSL untuk SSL VPN walaupun pelanggan tidak menggunakan SSL VPN.

Banyak persekitaran kini lebih banyak menggunakan IPsec. Sebabnya jelas: prestasi sering lebih baik, integrasi lebih mudah dalam reka bentuk VPN sedia ada, dan pengedaran lebih jelas melalui software deployment, RMM, Intune atau endpoint management. Dalam syarikat, kita tidak mahu pengguna memuat turun installer VPN secara manual daripada portal. Kita mahu pakej, versi, tetingkap rollout dan inventori.

Jika pelanggan menggunakan Sophos Connect hanya untuk IPsec, OpenSSL untuk SSL VPN masih menjadi sebahagian daripada klien yang dipasang. Ini tidak bermaksud setiap kelemahan OpenSSL praktikal untuk dieksploitasi. Tetapi pustaka itu ada, mesti diselenggara, muncul dalam inventori dan vulnerability scan, dan menghasilkan kerja patch.

Sebab itu logik kemas kini sangat penting. Jika produk memasang komponen yang tidak digunakan semua pelanggan, vendor mempunyai tanggungjawab khas untuk menyelenggaranya dengan cepat dan jelas. Jika tidak, timbul masalah enterprise klasik: ciri wujud secara teknikal, tidak digunakan secara operasi, tetapi masih perlu dipatch dan diterangkan.

Mengapa keluaran khusus masuk akal

Saya rasa betul Sophos mengeluarkan maintenance release untuk perkara ini.

Klien VPN bukan aplikasi desktop biasa. Ia sebahagian daripada kawalan akses. Jika klien menggunakan pustaka kripto yang lapuk, risiko operasi wujud, walaupun exploitability sebenar perlu dinilai mengikut kes.

Untuk komponen keselamatan, tiga perkara penting:

  • Penyelenggaraan komponen: pustaka pihak ketiga mesti dikemas kini segera.
  • Kebolehkesanan: admin mesti tahu versi yang dipasang.
  • Pengedaran: patch mesti sampai ke endpoint dengan boleh dipercayai.

Poin pertama dipenuhi: Sophos mengemas kini OpenSSL. Poin kedua dipenuhi sebahagiannya: release notes dan blog menyebut versi. Poin ketiga yang menarik.

Sophos menulis bahawa installer klien semasa diedarkan ke firewall SFOS melalui pakej Up2Date dan kemudian boleh dimuat turun daripada WebAdmin atau portal VPN. Itu berguna kerana firewall menjadi sumber tempatan installer.

Tetapi itu bukan proses auto-update yang bersih dan kelihatan pada setiap endpoint Windows.

Jika pengguna pernah memasang klien dan tidak pernah mengemas kininya lagi, ketersediaan installer pada firewall hanya separuh jalan. Seseorang masih perlu memulakan, memantau dan menamatkan rollout.

Kritikan sebenar: keterlihatan

Kritikan saya bukan terutamanya terhadap keluaran itu. Keluaran itu masuk akal.

Kritikan saya ialah keterlihatan dan jangkaan.

Alat keselamatan moden sekurang-kurangnya patut menyediakan salah satu daripada ini:

  • notifikasi kemas kini yang jelas dalam klien,
  • paparan pusat dalam Sophos Central atau firewall untuk versi klien yang lama,
  • mekanisme auto-update rasmi dan didokumentasikan,
  • atau amaran admin apabila versi klien yang relevan untuk keselamatan sudah lapuk.

Saya paling mahu mekanisme auto-update yang pilihan dan boleh dikawal untuk Sophos Connect. Bukan senyap, bukan tanpa kawalan, bukan melawan polisi syarikat. Tetapi admin patut boleh membenarkan update keselamatan automatik atau separa automatik untuk kumpulan tertentu.

Sesetengah persekitaran sudah menyelesaikannya dengan GPO, RMM, Intune atau software deployment. Sudah tentu. Admin yang baik boleh melakukannya. Tetapi poin produk kekal: untuk klien akses jauh, komunikasi update tidak patut bergantung pada nasib.

Sophos tahu automasi update penting. Firewall mempunyai pattern updates, hotfix, notis firmware dan keterlihatan Central. Produk endpoint memang dijangka auto-update. Mengapa klien VPN masih terasa manual?

Ini bukan masalah mewah. Ini kawasan di mana jurang kecil boleh kekal terlalu lama.

Apa yang admin patut lakukan sekarang

Pertama: semak sama ada Sophos Firewall sudah menerima installer Sophos Connect baharu. Sophos menyatakan installer dihantar melalui Up2Date dan tersedia dalam WebAdmin atau portal VPN.

Kedua: semak versi Sophos Connect yang dipasang pada klien Windows. Jika tiada inventori pusat, itulah masalah sebenar. Gunakan RMM, Intune, GPO, endpoint management atau skrip.

Ketiga: uji senario sebenar:

  • SSL VPN dengan nama pengguna, kata laluan dan MFA
  • IPsec dengan OTP, jika digunakan
  • Microsoft Entra ID SSO
  • fail provisioning
  • sijil dengan aksara khas
  • reconnect selepas gangguan Internet
  • beberapa pengguna Windows pada peranti yang sama

Jika anda hanya menggunakan IPsec, jangan abaikan update. Semak klien bermula dengan bersih, profil diedarkan seperti dijangka dan inventori mengenal versi baharu. OpenSSL mungkin bukan laluan VPN aktif, tetapi pustaka itu masih sebahagian daripada klien.

Keempat: rollout secara terancang. Bukan panik, tetapi bukan “nanti”. OpenSSL 3.3.7 ialah security patch release. Klien VPN dengan OpenSSL bukan sesuatu yang ditangguh hingga notebook diganti.

Kelima: berkomunikasi dengan jelas. Pengguna tidak perlu tahu maksud RSASVE, DANE atau CMS KeyAgreeRecipientInfo. Mereka perlu tahu klien VPN dikemas kini, sambungan perlu diuji selepas itu dan di mana melaporkan masalah SSO, OTP atau provisioning.

Apa yang Sophos patut perbaiki

Saya mahu tiga perkara dalam Sophos Connect.

Pertama: maklumat update jelas dalam klien. Jika versi relevan keselamatan tersedia, pengguna atau sekurang-kurangnya admin tempatan perlu melihatnya. Lebih baik lagi: laluan auto-update yang boleh dikawal.

Kedua: paparan admin pusat. Sophos Central atau firewall patut menunjukkan versi Sophos Connect yang diketahui dan yang sudah lapuk. Jika klien tidak diurus pusat, sekurang-kurangnya cadangan inventori dan rollout perlu jelas.

Ketiga: komunikasi release lebih baik. Blog komuniti baik sebagai pengumuman. Tetapi untuk komponen klien yang relevan untuk keselamatan, “baca blog dan muat turun installer” bukan model operasi, lebih-lebih lagi apabila versi OpenSSL asas sudah tersedia sejak April.

Saya tidak mahu memburukkan Sophos. Mengemas kini OpenSSL itu positif. Menyebut versi dalam release notes itu positif. Mengedar installer melalui firewall itu praktikal.

Tetapi pada 2026 vendor keselamatan patut melakukan lebih untuk klien akses jauh.

Kesimpulan saya

Sophos Connect 2.5 MR1 bukan release glamor. Itulah sebabnya ia menarik.

Ia menunjukkan realiti operasi keselamatan: bukan hanya ciri besar, tetapi penyelenggaraan komponen, fix kecil, sijil, SSO, reconnect OTP dan soalan sama ada update benar-benar tiba pada setiap endpoint.

OpenSSL 3.3.7 ialah security patch release. Sophos betul mengintegrasikannya dalam Sophos Connect. Admin betul tidak mengabaikannya. Tetapi tempoh April hingga Jun cukup panjang untuk bertanya tentang kelajuan dan keterlihatan.

Poin seni bina juga kekal: Sophos Connect memasang komponen SSL VPN dengan OpenSSL walaupun persekitaran terutama atau hanya menggunakan IPsec. Secara teknikal mungkin masuk akal kerana Sophos menyediakan klien gabungan. Secara operasi, ia mencipta tanggungjawab tambahan. Apa yang dipasang mesti dikemas kini dengan boleh dipercayai.

Sophos patut menerima soalan tidak selesa: mengapa admin perlu mengikuti blog secara aktif untuk menyedari update klien VPN seperti ini?

Untuk alat keselamatan yang melindungi akses ke rangkaian dalaman, itu belum cukup.

Jumpa lagi,
Joe

FAQ

Apa yang baharu dalam Sophos Connect 2.5 MR1 untuk Windows?
Sophos Connect 2.5 MR1 mengemas kini OpenSSL kepada versi 3.3.7 dan membetulkan isu auto-start, status SSO, reconnect OTP dan provisioning SSL VPN dengan sijil.
Mengapa OpenSSL 3.3.7 penting?
OpenSSL 3.3.7 ialah security patch release pada 7 April 2026. Ia membetulkan beberapa kelemahan, termasuk isu moderate dalam RSA KEM RSASVE Encapsulation dan isu tahap lebih rendah dalam DANE, CRL dan CMS. Sophos Connect 2.5 MR1 muncul pada 18 Jun 2026, kira-kira sepuluh minggu kemudian.
Adakah pengguna perlu mengemas kini Sophos Connect sendiri?
Bergantung pada model operasi. Sophos menyediakan installer melalui firewall atau muat turun terus. Dalam persekitaran terurus, admin patut rollout secara pusat dan tidak bergantung pada pengguna membaca blog.
Adakah OpenSSL relevan jika kami hanya menggunakan IPsec?
Ya, sekurang-kurangnya dari sudut operasi. Jika Sophos Connect memasang OpenSSL untuk SSL VPN, pustaka itu sebahagian daripada klien walaupun persekitaran terutama menggunakan IPsec. Itu tidak membuktikan exploitability praktikal, tetapi memerlukan patch, inventori dan penjelasan.
Sumber

Artikel berkaitan

Sophos vs WatchGuard: perbandingan firewall 2026

Sophos vs WatchGuard: perbandingan firewall 2026

Sophos vs Cisco Meraki: perbandingan firewall

Sophos vs Cisco Meraki: perbandingan firewall

Sophos vs Check Point 2026: perbandingan firewall dari operasi sebenar

Sophos vs Check Point 2026: perbandingan firewall dari operasi sebenar

Cari