OpenV*N 2.3.6 发布，关键漏洞修复

OpenV*N 2.3.6 发布，修复了一个非常关键的拒绝服务(DoS)漏洞，可以导致服务器崩溃。

此漏洞 (CVE-2014-8104) 是由 11 月早些时候提出来的，现在发布漏洞修复版本 OpenV*N 2.3.6，现已提供下载。

“此漏洞允许 tls-authenticated 客户端攻击服务器，通过发送 too-short 控制频道数据包到服务器” OpenV*N 解释到。

这 个安全漏洞影响所有 OpenV*N 2.x 的版本（自 2005 年以后）。OpenV*N Access Server 在 2.0.11 之前的版本也会受到影响。这个漏洞主要影响 V*N 服务提供者，可以通过攻击服务器获得客户端认证证书和 TLS 认证密钥。

瑞典 V*N 公司 Mullvad的联合创始人 Fredrick Strömberg 9月下旬发表声明，OpenV*N 服务器，在某些配置下，很容易受到攻击，利用 GNU Bash 漏洞。被称为 ShellShock。今年4月，Strömberg 声称已经找到一种方法，利用Heartbleed bug 在 OpenSSL 提取 OpenV*N 的私钥。

更多内容请看更新日志。