• Falha Permitia Ataque CSRF no OpenVPN Access Server

    A OpenVPN Technologies anunciou que corrigiu uma falha que favorecia ataques de Cross-Site Request Forgery (CSRF) na interface de administração do OpenVPN Access Server. OpenVPN Access Server é uma implementação comercial do OpenVPN, que produz o pacote de código aberto OpenVPN. A falha existe na versão 1.8.4, e pode estar presente em versões anteriores. Ele foi corrigido na versão 1.8.5, que agora está disponível para download.


    O problema poderia ser explorado se um usuário administrativo visitar um site malicioso, tendo também a interface web de administração abrindo ao mesmo tempo, de modo que um invasor possa modificar as configurações na interface Admin. Um pesquisador de segurança tinha descoberto que era possível roubar facilmente a sessão e, por exemplo, criar novas contas de clientes VPN.


    Saiba Mais:

    [1] OpenVPN http://openvpn.net/index.php/access-...otes-v185.html

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L