OpenV*N 2.3.6 發布，關鍵漏洞修復

OpenV*N 2.3.6 發布，修復了一個非常關鍵的拒絕服務(DoS)漏洞，可以導致服務器崩潰。

此漏洞 (CVE-2014-8104) 是由 11 月早些時候提出來的，現在發布漏洞修復版本 OpenV*N 2.3.6，現已提供下載。

“此漏洞允許 tls-authenticated 客戶端攻擊服務器，通過發送 too-short 控制頻道數據包到服務器” OpenV*N 解釋到。

這 個安全漏洞影響所有 OpenV*N 2.x 的版本（自 2005 年以后）。OpenV*N Access Server 在 2.0.11 之前的版本也會受到影響。這個漏洞主要影響 V*N 服務提供者，可以通過攻擊服務器獲得客戶端認證證書和 TLS 認證密鑰。

瑞典 V*N 公司 Mullvad的聯合創始人 Fredrick Str?mberg 9月下旬發表聲明，OpenV*N 服務器，在某些配置下，很容易受到攻擊，利用 GNU Bash 漏洞。被稱為 ShellShock。今年4月，Str?mberg 聲稱已經找到一種方法，利用Heartbleed bug 在 OpenSSL 提取 OpenV*N 的私鑰。

更多內容請看更新日志。