Com a descoberta da falha de renegociação em tráfego criptografado com SSL, e seus derivados, muitos dos serviços que utilizam esse protocolo ficaram também vulneráveis, pois como é uma falha no processo da comunicação cifrada, não há muito o que ser feito, a não ser corrigir o protocolo utilizado.
Para maiores detalhes sobre a falha da renegociação, veja esse link.
O Openvpn, que é um dos serviços que utilizam o OpenSSL, um dos derivados do SSL, lança hoje sua nova versão (2.1_rc22), com duas importantes mudanças:
1 - Remoção da SSL/TLS renegotiation, porém essa remoção não afetas outras funcionalidades do tipo mid-session SSL/TLS renegotation e afins.
2 - Hardening para mid-session SSL/TLS renegotation e similares, forçando a criação de uma nova sessão a partir do zero.
Obs: Para quem sofreu com a instalação do cliente do Openvpn no Vista até perceber que o mesmo deveria rodar no modo administrador, pode ficar tranquilo, pois esse problema também foi resolvido.
Veja outras novidades nesse link.
Até o presente momento, nem o Arch, Fedora ou Debian tinham empacotado essa nova versão do OpenVPN, quem estava mais próximo é o Debian Sid com a versão 2.1~rc21-2.
0sem comentários ainda