projects / wiki / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
git:// links no longer work, refer to the https:// one.
[wiki] / news / 2000-09-10.mdwn
1 [[!meta author="zarq"]]
2 [[!meta date="September 10th 2000"]]
3
4 Although we (the authors of tinc) have done our best to make tinc as secure as
5 possible, an unfortunate combination of encryption and key exchange techniques
6 has created a hole in at least all versions of tinc >= 0.3, including the
7 current CVS version.
8
9 *** Exploit:
10
11 If somebody can intercept the meta protocol to a host that is running a tinc
12 daemon, it is possible to decrypt the passphrase, which can then be used to
13 gain unauthorised access to the VPN, and become a part of it.
14
15 *** Workaround:
16
17 Add firewall rules so that only trusted hosts can connect to the tinc daemon.
18
19 *** Fix:
20
21 We are currently working on the implementation of a new protocol, with a
22 different authentication scheme. We expect to have a working version in CVS
23 around next weekend, we will release a new version (1.0pre3) when this becomes
24 stable.
25
26 Guus Sliepen  
27 Ivo Timmermans
tinc wiki contents