[Salvatore Bonaccorso] [SECURITY] [DSA 4607-1] openconnect security update
Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier FYI process_http_response in OpenConnect before 8.05 has a Buffer Overflow when a malicious server uses HTTP chunked encoding with crafted chunk sizes. Da man ja für das RWTH-VPN die Wahl zwischen unsicherem IKEv1+XAuth oder diesem großartigen AnyConnect hat, nutzen ja vielleicht hier einige OpenConnect. Vielleicht hat das RZ ja Interesse daran, mal ein sichereres VPN-Protokoll bereitzustellen (auch Cisco müsste ja sowas wie IKEv2 anbieten). VG Thomas -- Fachschaft I/1 Mathematik/Physik/Informatik der RWTH Aachen Thomas Schneider Campus Mitte: Augustinerbach 2a, 52062 Aachen Telefon: +49 241 80 94506 Informatikzentrum: Ahornstraße 55, Raum 2014, 52074 Aachen Telefon: +49 241 80 26741 https://www.fsmpi.rwth-aachen.de
Am 25.01.20 um 11:53 schrieb Thomas Schneider:
sofern nicht selber schon gesehen/-lesen hier FYI
process_http_response in OpenConnect before 8.05 has a
dieses "sofern nicht selber schon gesehen/-lesen hier FYI" nervt mich ja, da ich es für Diskussionen hier im allgemeinen nicht für förderlich halte. Aber in diesem speziellem Falle (da "Fleisch dabei"):
Da man ja für das RWTH-VPN die Wahl zwischen unsicherem IKEv1+XAuth oder diesem großartigen AnyConnect hat, nutzen ja vielleicht hier einige OpenConnect.
Ich: gelegentlich. Eher nur unter widrigen Umständen.
Vielleicht hat das RZ ja Interesse daran, mal ein sichereres VPN-Protokoll bereitzustellen (auch Cisco müsste ja sowas wie IKEv2 anbieten).
Voll d'accord.
For the oldstable distribution (stretch), this problem has been fixed in version 7.08-1+deb9u1.
For the stable distribution (buster), this problem has been fixed in version 8.02-1+deb10u1.
Da bin ich mit meinem Fedora 31 und einer Version 8.05 nach dem Upgrade von Fedora 30 wohl raus ;-) Hint: 8.05 ist vom September 2019 <rant> gottseidank fahre ich kein hausfrauenlinux </rant>
participants (2)
-
Jens Hektor -
Thomas Schneider