呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：VPN 軟體 PULSE SECURE LINUX 用戶 SSL 連線恐遭中間人操控摘要： Pulse Secure(Linux版)用戶端程式GUI，發現安全性弱點，囿於WebKit忽視SSL錯誤事件，且WebKit組態凌駕JavaScript，導致程式疏於嚴謹查驗SSL憑證，無法警覺駭客介入GUI與VPN伺服器之間，任意變造連線內容，欺騙受害者誤信圖形介面所示資訊。解決辦法：連結https://my.pulsesecure.net/members/redirect/?application=licensinganddownloadcenter，登入會員帳密，下載更新。參考連結： http://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA43620 http://www.kb.cert.org/vuls/id/319904 https://www.cvedetails.com/bugtraq-bid/102908/Pulse-Secure-Desktop-Linux-Client-CVE-2018-6374-Man-in-the-M.html https://nvd.nist.gov/vuln/detail/CVE-2018-6374 https://static-s.aa-cdn.net/img/ios/945832041/8b4c3f36c34fb78ab9807307d844d6c8?v=1 引用來源： https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4889 #5a81a5ea9e5b9c54c800610e

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：VPN 軟體 PULSE SECURE LINUX 用戶 SSL 連線恐遭中間人操控摘要： Pulse Secure(Linux版)用戶端程式GUI，發現安全性弱點，囿於WebKit忽視SSL錯誤事件，且WebKit組態凌駕JavaScript，導致程式疏於嚴謹查驗SSL憑證，無法警覺駭客介入GUI與VPN伺服器之間，任意變造連線內容，欺騙受害者誤信圖形介面所示資訊。解決辦法：連結https://my.pulsesecure.net/members/redirect/?application=licensinganddownloadcenter，登入會員帳密，下載更新。參考連結： http://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA43620 http://www.kb.cert.org/vuls/id/319904 https://www.cvedetails.com/bugtraq-bid/102908/Pulse-Secure-Desktop-Linux-Client-CVE-2018-6374-Man-in-the-M.html https://nvd.nist.gov/vuln/detail/CVE-2018-6374 https://static-s.aa-cdn.net/img/ios/945832041/8b4c3f36c34fb78ab9807307d844d6c8?v=1 引用來源： https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4889

at Mon, Feb 12, 2018 11:25 AM