27 février 2006

NuFW 1.0.21, correction d’un problème de sécurité mineur

Cette version corrige un problème relatif à un mauvais usage de la bibliothèque GnuTLS : Un utilisateur authentifié utilisant un client spécialement modifié pourrait, en générant un trafic important, bloquer un des threads du serveur d’authentification. Une des conséquences possibles serait alors un deni de service sur nuauth.

L’équipe de NuFW recommande donc aux utilisateurs de mettre à jour leur installation de nuauth.

La version 1.0.21 comporte aussi un peu de nettoyage de code et voici la liste des changements :
libnuclient : libération de la table des connexions lors du nettoyage de la session
nuauth : libération de nu_session si la négotiation TLS échoue
nuauth : passage des socket TLS en mode non bloquant pour éviter un deni de service potentiel par des utilisateur authentifiés.

Toutes les nouvelles - Sécurité