压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　Consult的安全研究員發(fā)現(xiàn)OpenVPN的桌面客戶端存在CSRF 漏洞 。成功利用該漏洞，可以實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。openvpn已經(jīng)發(fā)布公告 ，建議受影響的客戶端版本立刻升級到最新版。

　　受影響版本：

　　windows版本的OpenVPN Access Server "Desktop Client" app。版本號為1.5.6(漏洞發(fā)現(xiàn)時(shí)的最新版)及以前的版本。OpenVPN Connect，Private Tunnel和community builds 不受影響。

　　漏洞概要：

　　OpenVPN Access Server "Desktop Client"包括兩個(gè)部分，一個(gè)windows服務(wù)，通過本地的webserver提供XML-RPC的api。一個(gè)GUI的組件來連接這些API。這些XML-RPC的API存在csrf的漏洞。利用這些api可以實(shí)現(xiàn)以下幾種攻擊：

　　1，暴露受害者的真實(shí)信息。(比如，可以斷開一個(gè)已經(jīng)連接的VPN鏈接)

　　2，實(shí)施中間人攻擊。(可以讓受害者連接到一個(gè)攻擊者控制的VPN服務(wù)器)

　　3，以SYSTEM權(quán)限執(zhí)行任意命令。(通過添加一個(gè)VPN profile實(shí)現(xiàn))