Top 5 razões para implantar VMware com Tegile
OpenVPN corrigiu uma vulnerabilidade de negação de serviço, que os usuários autenticados podem desencadear através do envio de pacotes maliciosos.
A falha ( CVE-2014-8104 ) é mais doloroso para os prestadores de serviços de VPN e foi relatado pelo pesquisador Dragana Damjanovic para OpenVPN no mês passado.
Mantenedores, disse em um comunicado emitido esta manhã que a falha versões afetadas de volta para, pelo menos, 2005 e permitiu clientes TLS autenticados derrubar o servidor através do envio de um pacote de canais de controle demasiado curto para o servidor.
"Em outras palavras esta vulnerabilidade é a negação do único serviço", eles disseram .
"Um servidor OpenVPN pode ser facilmente caiu usando esta vulnerabilidade por um cliente autenticado. No entanto, não temos conhecimento de esta façanha de ser na natureza antes que lançou uma versão fixa.
"A confidencialidade e autenticidade de tráfego não são afetados."
O impacto da vulnerabilidade foi reduzido desde os atacantes tiveram de ser autenticado clientes intencionados certificados de cliente e TLS seria fornecido máquinas confiáveis de segurança sufficent não foram estourou.
VPN prestadores de serviços e outros servidores usando o 'cliente-cert-não-necessário "e nome de usuário / senha de acesso foram expostas uma vez que todos os usuários podem adquirir certificados de cliente e chaves de autenticação TLS.
"A primeira, versão não vulnerável fixo é 2.0.11 - você deve atualizá-lo o mais cedo possível, especialmente se você suspeita que alguns clientes pode ser mal-intencionado", disseram os mantenedores.
A base de código 3.x OpenVPN usado na maioria dos clientes OpenVPN Connect em Android e iOS não era vulnerável.
A versão fixa do OpenVPN (2.3.6) foi lançado 01 dezembro de 2014 por volta das 18:00 UTC. A correção também foi portado para o OpenVPN 2.2 ramo e lançado em OpenVPN 2.2.3, uma versão de apenas fonte.
Até agora VPN prestadores CryptoStorm e Perfect Privacy ter corrigido. ®
Nenhum comentário:
Postar um comentário