Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN (RESOLVIDO)
Pessoal, Só para constar no histórico da lista... realmente o mod_proxy estava open relay... A solução foi ser mais restritivo em questão as portas, e domínio, ficou assim: VirtualHost *:80 ProxyRequests off ServerName webservice.meusite.com.br Proxy http://192.168.0.10/webservice:80 # no lugar do Proxy * Order allow,deny Allow from all # não posso usar deny já que esse serviço é permitido para qualquer ip, tanto interno quanto externo /Proxy ProxyPass / http://192.168.0.10/webservice/ ProxyPassReverse / http://192.168.0.10/webservice/ Location / Order allow,deny Allow from all /Location /VirtualHost Uma outra sugestão foi usar o POUND (http://www.apsis.ch/pound) - dica do Fábio Ferreira Mendas da GTS-L... quando tiver um tempo, vou instalar para ver... Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Zavam, Vinícius [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Sunday, May 25, 2008 2:04 PM Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN Citando Welkson Renny de Medeiros: Bom dia FUG's! Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166) [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN... pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera chaves que podem ser quebradas... no caso, acho que o correto seria gerar novamente as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que reenviar as chaves para todos os clientes da vpn. Estou certo? Bom fim de semana! [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166 a falha afeta sistemas debian e debian-like. pelo que li foi devido a modificacoes no pacote original do openssl que o pessoal do debian fez ;( - Webmail SecrelNet - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN (RESOLVIDO)
Welkson, Ver se ue entendi direito não era problema somente no debian essa vunerabilidade ? inclusve no OpenVPN ? 2008/5/27 Welkson Renny de Medeiros [EMAIL PROTECTED]: Pessoal, Só para constar no histórico da lista... realmente o mod_proxy estava open relay... A solução foi ser mais restritivo em questão as portas, e domínio, ficou assim: VirtualHost *:80 ProxyRequests off ServerName webservice.meusite.com.br Proxy http://192.168.0.10/webservice:80 # no lugar do Proxy * Order allow,deny Allow from all # não posso usar deny já que esse serviço é permitido para qualquer ip, tanto interno quanto externo /Proxy ProxyPass / http://192.168.0.10/webservice/ ProxyPassReverse / http://192.168.0.10/webservice/ Location / Order allow,deny Allow from all /Location /VirtualHost Uma outra sugestão foi usar o POUND (http://www.apsis.ch/pound) - dica do Fábio Ferreira Mendas da GTS-L... quando tiver um tempo, vou instalar para ver... Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Zavam, Vinícius [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Sunday, May 25, 2008 2:04 PM Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN Citando Welkson Renny de Medeiros: Bom dia FUG's! Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166) [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN... pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera chaves que podem ser quebradas... no caso, acho que o correto seria gerar novamente as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que reenviar as chaves para todos os clientes da vpn. Estou certo? Bom fim de semana! [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166 a falha afeta sistemas debian e debian-like. pelo que li foi devido a modificacoes no pacote original do openssl que o pessoal do debian fez ;( - Webmail SecrelNet - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN(RESOLVIDO)
Eu fui responder uma thread sobre mod_proxy e acabei respondendo na thread errada... sobre openvpn A vulnerabilidade é somente do debian mesmo... tópico fechado. Abraço, Welkson - Original Message - From: Thiago Gomes [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, May 27, 2008 3:01 PM Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN(RESOLVIDO) Welkson, Ver se ue entendi direito não era problema somente no debian essa vunerabilidade ? inclusve no OpenVPN ? 2008/5/27 Welkson Renny de Medeiros [EMAIL PROTECTED]: Pessoal, Só para constar no histórico da lista... realmente o mod_proxy estava open relay... A solução foi ser mais restritivo em questão as portas, e domínio, ficou assim: VirtualHost *:80 ProxyRequests off ServerName webservice.meusite.com.br Proxy http://192.168.0.10/webservice:80 # no lugar do Proxy * Order allow,deny Allow from all # não posso usar deny já que esse serviço é permitido para qualquer ip, tanto interno quanto externo /Proxy ProxyPass / http://192.168.0.10/webservice/ ProxyPassReverse / http://192.168.0.10/webservice/ Location / Order allow,deny Allow from all /Location /VirtualHost Uma outra sugestão foi usar o POUND (http://www.apsis.ch/pound) - dica do Fábio Ferreira Mendas da GTS-L... quando tiver um tempo, vou instalar para ver... Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Zavam, Vinícius [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Sunday, May 25, 2008 2:04 PM Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN Citando Welkson Renny de Medeiros: Bom dia FUG's! Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166) [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN... pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera chaves que podem ser quebradas... no caso, acho que o correto seria gerar novamente as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que reenviar as chaves para todos os clientes da vpn. Estou certo? Bom fim de semana! [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166 a falha afeta sistemas debian e debian-like. pelo que li foi devido a modificacoes no pacote original do openssl que o pessoal do debian fez ;( - Webmail SecrelNet - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN (RESOLVIDO)
Thiago Gomes wrote: Welkson, Ver se ue entendi direito não era problema somente no debian essa vunerabilidade ? inclusve no OpenVPN ? 2008/5/27 Welkson Renny de Medeiros [EMAIL PROTECTED]: Pessoal, Só para constar no histórico da lista... realmente o mod_proxy estava open relay... A solução foi ser mais restritivo em questão as portas, e domínio, ficou assim: VirtualHost *:80 ProxyRequests off ServerName webservice.meusite.com.br Proxy http://192.168.0.10/webservice:80 # no lugar do Proxy * Order allow,deny Allow from all # não posso usar deny já que esse serviço é permitido para qualquer ip, tanto interno quanto externo /Proxy ProxyPass / http://192.168.0.10/webservice/ ProxyPassReverse / http://192.168.0.10/webservice/ Location / Order allow,deny Allow from all /Location /VirtualHost Uma outra sugestão foi usar o POUND (http://www.apsis.ch/pound) - dica do Fábio Ferreira Mendas da GTS-L... quando tiver um tempo, vou instalar para ver... Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Zavam, Vinícius [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Sunday, May 25, 2008 2:04 PM Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN Citando Welkson Renny de Medeiros: Bom dia FUG's! Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166) [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN... pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera chaves que podem ser quebradas... no caso, acho que o correto seria gerar novamente as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que reenviar as chaves para todos os clientes da vpn. Estou certo? Bom fim de semana! [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166 a falha afeta sistemas debian e debian-like. pelo que li foi devido a modificacoes no pacote original do openssl que o pessoal do debian fez ;( - Webmail SecrelNet - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Thiago, Leia os links passados como referência, garanto que iram te ajudar. []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
