14:13
21/6/2017

OpenVPN przeszedł ostatnio 2 audyty kodu. Nie znalazły one większych błędów. Ale znalazł je jeden z niezależnych badaczy, który także przejrzał i pofuzzował kod OpenVPN. Opis jego dokonań tutaj. Szybko się zaktualizujcie, jeśli korzystacie z OpenVPN.

Przy okazji, w podlinkowanym wyżej tekście ciekawe refleksje na temat podejść do analizy kodu (ręczna, automatyczna z użyciem fuzzerów).

Dziękujemy Andrzejowi za informacje.

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

7 komentarzy

Dodaj komentarz
  1. Ktora wersja openvpn poprawie ww. dziury?

    • Najnowsza – as always.

    • To nie jest takie proste. Najnowsza wersja z perspektywy normalnego użytkownika (który korzysta z menadżera pakietów) nie jest najnowszą wersją z perspektywy developera (który korzysta z repozytoriów kodu). Więc nie tylko pytanie “która wersja” ma duży sens ale również pytanie, czy aktualizacja istnieje w wersji *.deb (lub analogicznej dla innych systemów).

  2. To teraz ciekawe kiedy aplikacje klienckie SSL VPN dla UTMów zostaną zaktualizowane. Te które znam są wszystkie nakładkami na OpenVPN.

  3. Jak te problemy się mają do tls-auth?

  4. To kolejny raz potwierdza, że dużo ważniejsze od tego że coś zostało zrobione/przeprowadzone jest przez kogo i jak dogłębnie. Audyt słowo klucz jest niewiele warte bez kontekstu, a przecież podobnie jest z nagrodami. Ostatnio pewna firma chwaliła się właśnie przeprowadzonym audytem w pewnym obszarze jej działalności oraz długą listą wyróżnień i certyfikatów. Po wnikliwej analizie okazało się że większość certyfikatów wystawiły firmy krzaki za pewną opłatą, realizacje były małe (w zasadzie 1 dostawa sprzętu dla firmy z branży) a audyt przeprowadził powołany naprędce jednoosobowy dział audytów :)

  5. Niebezpiecznik zawsze w porę mnie ostrzega przed najnowszymi zagrożeniami :)

Odpowiadasz na komentarz WooDzu

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: