Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 3514 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN and SSL/TLS Vulnerability

T.Frank
Hi,

does the new vulnerability from SSL/TLS have impacts for the SSL-VPN Connection with the ASG?

Source:
Vulnerability in SSL/TLS protocol - The H Security: News and Features

Best Regards,
Tobias Frank


This thread was automatically locked due to age.
  • 0
    Just giving it an initial read; unless OpenVPN renegotiates certs, etc. mid-connection (and I don't believe it does) I don't think it's a problem in this case.  Maybe someone else will pipe up with a different answer or a confirmation.
  • 0
    I'm not sure either, but there is a partial 'fix' in a new version of OpenSSL, which completely disables renegotiation:
    Internet Storm Center Diary 2009-11-06

    I don't know if the VPN package (OpenVPN or whatever Astaro is using) would have to be 'fixed' too, or if the new OpenSSL would be enough.

    Note also that even if Astaro doesn't fix this right away, fixing the clients might be sufficient. (assuming that it is even an issue with OpenVPN)

    Barry
  • 0
    Hi, 

    Open SSL has already fixed the vulnerability in an update. 
    When can we expect the integration into the ASG?

    Major changes between OpenSSL 0.9.7b and OpenSSL 0.9.7c:

          o Security: fix various ASN1 parsing bugs.
          o New -ignore_err option to OCSP utility.
          o Various interop and bug fixes in S/MIME code.
          o SSL/TLS protocol fix for unrequested client certificates.


    Best Regards,
    Tobias Frank
  • 0 in reply to T.Frank
    Hey... the recently released OpenVPN client's release notes confirmed my thoughts that more than likely OpenVPN was not vulnerable to this new bug...

    2009.11.12 -- Version 2.1_rc21

    * Rebuilt OpenVPN Windows installer with OpenSSL 0.9.8l to address
      CVE-2009-3555.  Note that OpenVPN has never relied on the session
      renegotiation capabilities that are built into the SSL/TLS protocol,
      therefore the fix in OpenSSL 0.9.8l (disable SSL/TLS renegotiation
      completely) will not adversely affect OpenVPN mid-session SSL/TLS
      renegotation or any other OpenVPN capabilities.
  • 0
    previous versions of openvpn was affected and hence the release of version 2.1_rc21.   There are multiple items that need to be addressed openssl, openvpn, etc... (although I am not an expert in this field but I did stay in a holiday inn).  See here http://isc.sans.org/diary.html?storyid=7603
  • 0 in reply to bryanjacobs
    My read on it is that they updated OpenSSL, as they well should have regardless; but they also explicitly state they OpenVPN has never used the Renogitiation algorithm that is specific to the OpenSSL vulnerability.  It does look like they've changed some of their own (OpenVPN) routines for more security, but the OpenSSL bug itself is not involved.