Potencial vulnerabilidade na interface web do pfsense 2.0.1
-
Exige uma série de circunstâncias para acontecer, mas fica o aviso
http://forum.pfsense.org/index.php/topic,57439.msg306561.html#msg306561
-
Exige uma série de circunstâncias para acontecer, mas fica o aviso
http://forum.pfsense.org/index.php/topic,57439.msg306561.html#msg306561
Olá! muito obrigado pela informação e saberia dizer se para a versão 2.0.2 está vulnerabilidade existe ? E estou criando uma regra, permitindo somente alguns IP's para acessar a GUI através da WAN, é uma boa prática ? O problema são os IP's dinâmicos que precisam este acesso, vou ser obrigado liberar o RANGE inteiro deste provedor (NET) para poder liberar o acesso !
Teria alguma boa prática para nos ajudar neste caso ? Muito obrigado.
Mendax
-
Saberia dizer se para a versão 2.0.2 está vulnerabilidade existe ?
na 2.0.2 já está corrigida. Só lembrando que o problema depende do administrador estar logado na interface e em outra aba receber a pagina mal formada explorando a "vulnerabilidade". O link que postei mostra algumas dicas do core team sobre as melhores praticas no uso da interface web do pfsense.
E estou criando uma regra, permitindo somente alguns IP's para acessar a GUI através da WAN, é uma boa prática ?
Sempre é uma boa pratica restringir acesso externo.
O problema são os IP's dinâmicos que precisam este acesso, vou ser obrigado liberar o RANGE inteiro deste provedor (NET) para poder liberar o acesso !
use dns dinamico para identificar suas maquinas na internet
-
Teria alguma boa prática para nos ajudar neste caso ? Muito obrigado.
Além das informações repassadas pelo marcelloc, fica a dica deste post com links interessantes a este respeito: http://www.pfsense-br.org/blog/2013/01/exploit-pfsense-2-0-1-xss-csrf-remote-root-access-nada-de-panico/
Abraços!
Jack
