Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 3515 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN and SSL/TLS Vulnerability

T.Frank
Hi,

does the new vulnerability from SSL/TLS have impacts for the SSL-VPN Connection with the ASG?

Source:
Vulnerability in SSL/TLS protocol - The H Security: News and Features

Best Regards,
Tobias Frank


This thread was automatically locked due to age.
Parents
  • 0
    Hi, 

    Open SSL has already fixed the vulnerability in an update. 
    When can we expect the integration into the ASG?

    Major changes between OpenSSL 0.9.7b and OpenSSL 0.9.7c:

          o Security: fix various ASN1 parsing bugs.
          o New -ignore_err option to OCSP utility.
          o Various interop and bug fixes in S/MIME code.
          o SSL/TLS protocol fix for unrequested client certificates.


    Best Regards,
    Tobias Frank
  • 0 in reply to T.Frank
    Hey... the recently released OpenVPN client's release notes confirmed my thoughts that more than likely OpenVPN was not vulnerable to this new bug...

    2009.11.12 -- Version 2.1_rc21

    * Rebuilt OpenVPN Windows installer with OpenSSL 0.9.8l to address
      CVE-2009-3555.  Note that OpenVPN has never relied on the session
      renegotiation capabilities that are built into the SSL/TLS protocol,
      therefore the fix in OpenSSL 0.9.8l (disable SSL/TLS renegotiation
      completely) will not adversely affect OpenVPN mid-session SSL/TLS
      renegotation or any other OpenVPN capabilities.
Reply
  • 0 in reply to T.Frank
    Hey... the recently released OpenVPN client's release notes confirmed my thoughts that more than likely OpenVPN was not vulnerable to this new bug...

    2009.11.12 -- Version 2.1_rc21

    * Rebuilt OpenVPN Windows installer with OpenSSL 0.9.8l to address
      CVE-2009-3555.  Note that OpenVPN has never relied on the session
      renegotiation capabilities that are built into the SSL/TLS protocol,
      therefore the fix in OpenSSL 0.9.8l (disable SSL/TLS renegotiation
      completely) will not adversely affect OpenVPN mid-session SSL/TLS
      renegotation or any other OpenVPN capabilities.
Children
No Data