Filed Under (Hardening, Security, software livre) by rafaelgomes on 20-11-2009
Com a descoberta da falha de renegociação em tráfego criptografado com SSL, e seus derivados, muitos dos serviços que utilizam esse protocolo ficaram também vulneráveis, pois como é uma falha no processo da comunicação cifrada, não há muito o que ser feito, a não ser corrigir o protocolo utilizado.
Para maiores detalhes sobre a falha da renegociação, veja esse link.
O Openvpn, que é um dos serviços que utilizam o OpenSSL, um dos derivados do SSL, lança hoje sua nova versão (2.1_rc22), com duas importantes mudanças:
1 – Remoção da SSL/TLS renegotiation, porém essa remoção não afetas outras funcionalidades do tipo mid-session SSL/TLS renegotation e afins.
2 – Hardening para mid-session SSL/TLS renegotation e similares, forçando a criação de uma nova sessão a partir do zero.
Obs: Para quem sofreu com a instalação do cliente do Openvpn no Vista até perceber que o mesmo deveria rodar no modo administrador, pode ficar tranquilo, pois esse problema também foi resolvido.
Veja outras novidades nesse link.
Até o presente momento, nem o Arch, Fedora ou Debian tinham empacotado essa nova versão do OpenVPN, quem estava mais próximo é o Debian Sid com a versão 2.1~rc21-2.
[...] em: http://openvpn.net/index.php/open-source/downloads.html Para mais informações: http://techfree.com.br/wordpre…pn-novo-sem-renegotiation-flaw Postada por: Rafael Gomes, rafaelgomes(ARROBA)techfree.com.br CategoriasUncategorized [...]
[...] 1 – Remoção da SSL/TLS renegotiation, porém essa remoção não afetas outras funcionalidades do tipo mid-session SSL/TLS renegotation e afins. 2 – Hardening para mid-session SSL/TLS renegotation e similares, forçando a criação de uma nova sessão a partir do zero.” [referência: techfree.com.br] [...]