VPN aplikácie Cisco, F5, Palo Alto Networks a Pulse Secure neukladajú session cookies bezpečne

VPN

Zdroj: ZDNet

Carnegie Mellon University CERT Coordination Center (CERT/CC) uverejnil bezpečnostné upozornenie, že VPN aplikácie od 4 dodávateľov neukladajú session cookies zašifrované. Niektoré sa dajú nájsť v pamäti počítača, iné v logoch na disku.

Ak má útočník prístup na počítač s takouto VPN aplikáciou, môže obnoviť VPN pripojenie bez autentifikácie. Zoznam postihnutých aplikácií sa nachádza tu. Palo Alto Networks už vydalo záplatu. F5 Networks oznámilo, že o probléme niektorých jeho VPN aplikácii vie od roku 2013. Záplatu nevydá a odporúča dvojfaktorovú autentifikáciu pre VPN (to je výborná rada pre akékoľvek VPN pripojenie). Cisco a Pulse Secure zatiaľ oficiálne nepotvrdili problém.

Boli testované aj VPN aplikácie od Check Point a pfSense. Sú považované za bezpečné.

Obrázok: „VPN Firewall“ by Tim Reckmann, used under CC BY 2.0

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ