Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN (RESOLVIDO)

2008-05-27 Por tôpico Welkson Renny de Medeiros
Pessoal,

Só para constar no histórico da lista... realmente o mod_proxy estava open 
relay...

A solução foi ser mais restritivo em questão as portas, e domínio, ficou 
assim:

VirtualHost *:80
   ProxyRequests off
   ServerName webservice.meusite.com.br
   Proxy http://192.168.0.10/webservice:80  # no lugar do 
Proxy *
   Order allow,deny
   Allow from all 
# não posso usar deny já que esse serviço é permitido para qualquer ip, 
tanto interno quanto externo
   /Proxy
   ProxyPass / http://192.168.0.10/webservice/
   ProxyPassReverse / http://192.168.0.10/webservice/
Location /
Order allow,deny
Allow from all
/Location
/VirtualHost

Uma outra sugestão foi usar o POUND (http://www.apsis.ch/pound) - dica do 
Fábio Ferreira Mendas da GTS-L... quando tiver um tempo, vou instalar para 
ver...

Abraço,

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED]



  Powered by 

   (__)
\\\'',)
  \/  \ ^
  .\._/_)

  www.FreeBSD.org

- Original Message - 
From: Zavam, Vinícius [EMAIL PROTECTED]
To: freebsd@fug.com.br
Sent: Sunday, May 25, 2008 2:04 PM
Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN


Citando Welkson Renny de Medeiros:

 Bom dia FUG's!


 Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166)
 [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN...
 pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas
 utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo
 (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera 
 chaves
 que podem ser quebradas... no caso, acho que o correto seria gerar 
 novamente
 as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que
 reenviar as chaves para todos os clientes da vpn. Estou certo?

 Bom fim de semana!

 [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

a falha afeta sistemas debian e debian-like.

pelo que li foi devido a modificacoes no pacote original do openssl
que o pessoal do debian fez ;(




-
Webmail SecrelNet


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN (RESOLVIDO)

2008-05-27 Por tôpico Thiago Gomes
Welkson,

Ver se ue entendi direito não era problema somente no debian essa
vunerabilidade ?
inclusve no OpenVPN ?

2008/5/27 Welkson Renny de Medeiros [EMAIL PROTECTED]:
 Pessoal,

 Só para constar no histórico da lista... realmente o mod_proxy estava open
 relay...

 A solução foi ser mais restritivo em questão as portas, e domínio, ficou
 assim:

 VirtualHost *:80
   ProxyRequests off
   ServerName webservice.meusite.com.br
   Proxy http://192.168.0.10/webservice:80  # no lugar do
 Proxy *
   Order allow,deny
   Allow from all
 # não posso usar deny já que esse serviço é permitido para qualquer ip,
 tanto interno quanto externo
   /Proxy
   ProxyPass / http://192.168.0.10/webservice/
   ProxyPassReverse / http://192.168.0.10/webservice/
 Location /
 Order allow,deny
 Allow from all
 /Location
 /VirtualHost

 Uma outra sugestão foi usar o POUND (http://www.apsis.ch/pound) - dica do
 Fábio Ferreira Mendas da GTS-L... quando tiver um tempo, vou instalar para
 ver...

 Abraço,

 --
 Welkson Renny de Medeiros
 Focus Automação Comercial
 Desenvolvimento / Gerência de Redes
 [EMAIL PROTECTED]



  Powered by 

   (__)
\\\'',)
  \/  \ ^
  .\._/_)

  www.FreeBSD.org

 - Original Message -
 From: Zavam, Vinícius [EMAIL PROTECTED]
 To: freebsd@fug.com.br
 Sent: Sunday, May 25, 2008 2:04 PM
 Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN


 Citando Welkson Renny de Medeiros:

 Bom dia FUG's!


 Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166)
 [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN...
 pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas
 utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo
 (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera
 chaves
 que podem ser quebradas... no caso, acho que o correto seria gerar
 novamente
 as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que
 reenviar as chaves para todos os clientes da vpn. Estou certo?

 Bom fim de semana!

 [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

 a falha afeta sistemas debian e debian-like.

 pelo que li foi devido a modificacoes no pacote original do openssl
 que o pessoal do debian fez ;(




 -
 Webmail SecrelNet


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN(RESOLVIDO)

2008-05-27 Por tôpico Welkson Renny de Medeiros
Eu fui responder uma thread sobre mod_proxy e acabei respondendo na thread 
errada... sobre openvpn

A vulnerabilidade é somente do debian mesmo... tópico fechado.

Abraço,

Welkson

- Original Message - 
From: Thiago Gomes [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
freebsd@fug.com.br
Sent: Tuesday, May 27, 2008 3:01 PM
Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do 
OpenVPN(RESOLVIDO)


Welkson,

Ver se ue entendi direito não era problema somente no debian essa
vunerabilidade ?
inclusve no OpenVPN ?

2008/5/27 Welkson Renny de Medeiros [EMAIL PROTECTED]:
 Pessoal,

 Só para constar no histórico da lista... realmente o mod_proxy estava 
 open
 relay...

 A solução foi ser mais restritivo em questão as portas, e domínio, ficou
 assim:

 VirtualHost *:80
   ProxyRequests off
   ServerName webservice.meusite.com.br
   Proxy http://192.168.0.10/webservice:80  # no lugar do
 Proxy *
   Order allow,deny
   Allow from all
 # não posso usar deny já que esse serviço é permitido para qualquer ip,
 tanto interno quanto externo
   /Proxy
   ProxyPass / http://192.168.0.10/webservice/
   ProxyPassReverse / http://192.168.0.10/webservice/
 Location /
 Order allow,deny
 Allow from all
 /Location
 /VirtualHost

 Uma outra sugestão foi usar o POUND (http://www.apsis.ch/pound) - dica do
 Fábio Ferreira Mendas da GTS-L... quando tiver um tempo, vou instalar para
 ver...

 Abraço,

 --
 Welkson Renny de Medeiros
 Focus Automação Comercial
 Desenvolvimento / Gerência de Redes
 [EMAIL PROTECTED]



  Powered by 

   (__)
\\\'',)
  \/  \ ^
  .\._/_)

  www.FreeBSD.org

 - Original Message -
 From: Zavam, Vinícius [EMAIL PROTECTED]
 To: freebsd@fug.com.br
 Sent: Sunday, May 25, 2008 2:04 PM
 Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN


 Citando Welkson Renny de Medeiros:

 Bom dia FUG's!


 Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166)
 [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN...
 pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas
 utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo
 (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera
 chaves
 que podem ser quebradas... no caso, acho que o correto seria gerar
 novamente
 as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que
 reenviar as chaves para todos os clientes da vpn. Estou certo?

 Bom fim de semana!

 [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

 a falha afeta sistemas debian e debian-like.

 pelo que li foi devido a modificacoes no pacote original do openssl
 que o pessoal do debian fez ;(




 -
 Webmail SecrelNet


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN (RESOLVIDO)

2008-05-27 Por tôpico pitombera
Thiago Gomes wrote:
 Welkson,

 Ver se ue entendi direito não era problema somente no debian essa
 vunerabilidade ?
 inclusve no OpenVPN ?

 2008/5/27 Welkson Renny de Medeiros [EMAIL PROTECTED]:
   
 Pessoal,

 Só para constar no histórico da lista... realmente o mod_proxy estava open
 relay...

 A solução foi ser mais restritivo em questão as portas, e domínio, ficou
 assim:

 VirtualHost *:80
   ProxyRequests off
   ServerName webservice.meusite.com.br
   Proxy http://192.168.0.10/webservice:80  # no lugar do
 Proxy *
   Order allow,deny
   Allow from all
 # não posso usar deny já que esse serviço é permitido para qualquer ip,
 tanto interno quanto externo
   /Proxy
   ProxyPass / http://192.168.0.10/webservice/
   ProxyPassReverse / http://192.168.0.10/webservice/
 Location /
 Order allow,deny
 Allow from all
 /Location
 /VirtualHost

 Uma outra sugestão foi usar o POUND (http://www.apsis.ch/pound) - dica do
 Fábio Ferreira Mendas da GTS-L... quando tiver um tempo, vou instalar para
 ver...

 Abraço,

 --
 Welkson Renny de Medeiros
 Focus Automação Comercial
 Desenvolvimento / Gerência de Redes
 [EMAIL PROTECTED]



  Powered by 

   (__)
\\\'',)
  \/  \ ^
  .\._/_)

  www.FreeBSD.org

 - Original Message -
 From: Zavam, Vinícius [EMAIL PROTECTED]
 To: freebsd@fug.com.br
 Sent: Sunday, May 25, 2008 2:04 PM
 Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN


 Citando Welkson Renny de Medeiros:

 
 Bom dia FUG's!


 Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166)
 [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN...
 pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas
 utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo
 (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera
 chaves
 que podem ser quebradas... no caso, acho que o correto seria gerar
 novamente
 as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que
 reenviar as chaves para todos os clientes da vpn. Estou certo?

 Bom fim de semana!

 [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166
   
 a falha afeta sistemas debian e debian-like.

 pelo que li foi devido a modificacoes no pacote original do openssl
 que o pessoal do debian fez ;(




 -
 Webmail SecrelNet


 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

   
Thiago,

Leia os links passados como referência, garanto que iram te ajudar.

[]'s
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN

2008-05-25 Por tôpico Zavam, Vinícius
Citando Welkson Renny de Medeiros:

 Bom dia FUG's!


 Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166)
 [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN...
 pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas
 utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo
 (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera chaves
 que podem ser quebradas... no caso, acho que o correto seria gerar novamente
 as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que
 reenviar as chaves para todos os clientes da vpn. Estou certo?

 Bom fim de semana!

 [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

a falha afeta sistemas debian e debian-like.

pelo que li foi devido a modificacoes no pacote original do openssl
que o pessoal do debian fez ;(




-
Webmail SecrelNet


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN

2008-05-24 Por tôpico Welkson Renny de Medeiros
Bom dia FUG's!


Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166) 
[1], que é utilizado entre outras coisas para gerar chaves do OpenVPN... 
pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas 
utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo 
(instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera chaves 
que podem ser quebradas... no caso, acho que o correto seria gerar novamente 
as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que 
reenviar as chaves para todos os clientes da vpn. Estou certo?

Bom fim de semana!

[1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
[EMAIL PROTECTED]



  Powered by 

   (__)
\\\'',)
  \/  \ ^
  .\._/_)

  www.FreeBSD.org 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN

2008-05-24 Por tôpico pitombera
Welkson Renny de Medeiros wrote:
 Bom dia FUG's!


 Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166) 
 [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN... 
 pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas 
 utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo 
 (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera chaves 
 que podem ser quebradas... no caso, acho que o correto seria gerar novamente 
 as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que 
 reenviar as chaves para todos os clientes da vpn. Estou certo?

 Bom fim de semana!

 [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

   
Não, na realidade o problema foi causado pelo pessoal do Debian q 
modificou o code do openssl. Detalhes em:
http://metasploit.com/users/hdm/tools/debian-openssl/
http://www.noticiaslinux.com.br/nl1211374399.html
http://www.milw0rm.com/exploits/5622

[]'s

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN

2008-05-24 Por tôpico Giancarlo Rubio
Melhor dizendo eles comentaram uma linha que garantia a aleatoridade
das chaves geradas pois a mesma estava dando warnings de compilacao, o
que ocasionou a restricao do numero de chaves para 32768 em vez das
milhoes de chaves possiveis.
O que uma linha de codigo pode causar em todo um software com aspecto
em seguranca

2008/5/24 pitombera [EMAIL PROTECTED]:
 Welkson Renny de Medeiros wrote:
 Bom dia FUG's!


 Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166)
 [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN...
 pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas
 utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo
 (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera chaves
 que podem ser quebradas... no caso, acho que o correto seria gerar novamente
 as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que
 reenviar as chaves para todos os clientes da vpn. Estou certo?

 Bom fim de semana!

 [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166


 Não, na realidade o problema foi causado pelo pessoal do Debian q
 modificou o code do openssl. Detalhes em:
 http://metasploit.com/users/hdm/tools/debian-openssl/
 http://www.noticiaslinux.com.br/nl1211374399.html
 http://www.milw0rm.com/exploits/5622

 []'s

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-- 
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN

2008-05-24 Por tôpico Welkson Renny de Medeiros
Era o que eu tinha visto... mas hoje lendo um link que passaram no GTS-L 
acho que confundi as coisas... no artigo o cara fala que qualquer sistema 
fica vulnerável se IMPORTAR uma chave gerada por um debian-like ;-) que não 
é o meu caso...

Obrigado Pitombera (Diego?)

Welkson


- Original Message - 
From: pitombera [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
freebsd@fug.com.br
Sent: Saturday, May 24, 2008 11:43 AM
Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN


Welkson Renny de Medeiros wrote:
 Bom dia FUG's!


 Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166)
 [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN...
 pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas
 utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo
 (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera 
 chaves
 que podem ser quebradas... no caso, acho que o correto seria gerar 
 novamente
 as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que
 reenviar as chaves para todos os clientes da vpn. Estou certo?

 Bom fim de semana!

 [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166


Não, na realidade o problema foi causado pelo pessoal do Debian q
modificou o code do openssl. Detalhes em:
http://metasploit.com/users/hdm/tools/debian-openssl/
http://www.noticiaslinux.com.br/nl1211374399.html
http://www.milw0rm.com/exploits/5622

[]'s

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd