[FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN (RESOLVIDO)

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Terça Maio 27 14:27:41 BRT 2008 

Pessoal,

Só para constar no histórico da lista... realmente o mod_proxy estava "open 
relay"...

A solução foi ser mais restritivo em questão as portas, e domínio, ficou 
assim:

<VirtualHost *:80>
   ProxyRequests off
   ServerName webservice.meusite.com.br
   <Proxy http://192.168.0.10/webservice:80>              # no lugar do 
<Proxy *>
   Order allow,deny
   Allow from all 
# não posso usar deny já que esse serviço é permitido para qualquer ip, 
tanto interno quanto externo
   </Proxy>
   ProxyPass / http://192.168.0.10/webservice/
   ProxyPassReverse / http://192.168.0.10/webservice/
<Location />
Order allow,deny
Allow from all
</Location>
</VirtualHost>

Uma outra sugestão foi usar o POUND (http://www.apsis.ch/pound) - dica do 
Fábio Ferreira Mendas da GTS-L... quando tiver um tempo, vou instalar para 
ver...

Abraço,

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org

----- Original Message ----- 
From: "Zavam, Vinícius" <egypcio em secrel.com.br>
To: <freebsd em fug.com.br>
Sent: Sunday, May 25, 2008 2:04 PM
Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN


Citando Welkson Renny de Medeiros:

> Bom dia FUG's!
>
>
> Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166)
> [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN...
> pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas
> utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo
> (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera 
> chaves
> que podem ser quebradas... no caso, acho que o correto seria gerar 
> novamente
> as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que
> reenviar as chaves para todos os clientes da vpn. Estou certo?
>
> Bom fim de semana!
>
> [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

a falha afeta sistemas debian e debian-like.

pelo que li foi devido a modificacoes no pacote original do openssl
que o pessoal do debian fez ;(




---------------------
Webmail SecrelNet


-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd