VPN客户端代码的更新间隔

信息安全 虚拟专用网 更新
2021-08-17 13:57:25

我最近必须找到一个 VPN 客户端来连接到预配置的 Cisco IPSec VPN。当然有思科自己的客户端实现AnyConnect,但如果可能的话,我想坚持使用免费的替代方案。编辑:我也刚读到AnyConnect支持 IPSec。)说完我发现了几个应用程序,但看起来它们都相当老了:

  • 对于 Windows,主要有著名的Shrewsoft 客户端其最新版本 2.2.2 可追溯到 2013 年 7 月 1 日。
  • 在 Linux 上, vpnc可能是最广为人知的实现。在 2008 年 11 月 19 日发布 0.5.3 版本后,它的原始维护者似乎放弃了它。无论如何,该版本仍然由不同的社区负责,例如Debian 最近在 11 月 23 日将其修补到 0.5.3r550-3, 2016 年。
  • 作为一个独立于系统的候选人,让我们添加OpenConnect它的最新版本是 2016 年 12 月 13 日。

现在,对于一个广泛使用且对安全至关重要的网络应用程序,我发现很可能会定期发现漏洞,并且每隔一段时间就会发布安全修复程序。但是,我也意识到,到目前为止,所有这些应用程序都有足够的时间进行大量的强化。所以这是我的问题:

像上面提到的那些 VPN 客户端的更新间隔长有多大问题?

1个回答

Shrewsoft 也有 6 年没有更新过,但是如果您查看 OpenConnect CVE,那么从您的列表中可以看到这些年来列出的一些

Github中还列出了各种问题这些问题通常围绕来自某些响应的客户端的 DoS,或发出请求时程序中的崩溃/错误。如果您的问题是 VPN 提供的加密是否在旧程序中受到损害,因为它们使用定义明确的算法,这可能不是问题。如果您的问题是它们是否可以在系统上安全使用而不会出现问题,那可能不是这种情况,因为它们大多需要 root 访问权限才能创建网络接口。

运行任何不定期更新或维护良好的软件都会增加可用于恶意攻击者攻击的向量数量,因此应尽可能避免使用不再更新的软件。仅仅通过安装它们可能会产生问题

其它你可能感兴趣的问题
上一篇Android 更新电话号码,“要继续,请先验证您的身份” 下一篇Blueborne - 攻击场景说明