Гвидо Вренкен (Guido Vranken), известный разработкой нескольких атак против различных реализаций SSL/TLS, опубликовал (http://openwall.com/lists/oss-security/2017/06/21/5) результаты fuzzing-тестирования кодовой базы пакета для создания виртуальных частных сетей OpenVPN, в результате которого им было выявлено 4 опасные уязвимости (https://guidovranken.wordpress.com/2017/06/21/the-openvpn-po.../), одна из которых потенциально может привести к выполнению кода на сервере.Публикация сведений об уязвимостях скоординирована с разработчиками OpenVPN, благодаря чему уже опубликованы релизы OpenVPN 2.4.3 и 2.3.17 (https://openvpn.net/index.php/open-source/downloads.html), в которых устранены выявленные проблемы. При этом в дистрибутивах уязвимости пока остаются неисправлеными (Debian (https://security-tracker.debian.org/tracker/CVE-2017-7521), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-7521), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-7521), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1463643), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2...)). Интересно, что незадолго до выявления уязвимостей, проект OpenVPN успешно прошёл два независимых аудита кодовой базы, которые не выявили данных проблем.
Наиболее опасная уязвимость (CVE-2017-7521 (https://security-tracker.debian.org/tracker/CVE-2017-7521)) проявляется (https://github.com/OpenVPN/openvpn/commit/cb4e35ece4a5b70b10...) на серверах, использующих опцию "--x509-alt-username" и соответствующее расширение сертификата X.509. Аутентифицированный клиент, имеющий возможность подключения к серверу OpenVPN, может вызвать ситуацию двойного освобождения области памяти (double free), которая потенциально может быть эксплуатирована для организации выполнения кода на сервере. Для успешной эксплуатации требуется добиться, чтобы функция ASN1_STRING_to_UTF8() при вызове из extract_x509_extension() вернула значение False, что по предварительной оценке возможно в условии исчерпания доступной процессу памяти.
URL: http://openwall.com/lists/oss-security/2017/06/21/5
Новость: http://www.opennet.ru/opennews/art.shtml?num=46738
Наверно не там выявляли
Может быть всё намного проще - музыку заказывали не мы и не для нас..
к тому же, распил - это не только определение бурления в Госдуме РФ.
> Может быть всё намного проще - музыку заказывали не мы и не
> для нас..там автор тестирования собирает бабло - закажите уже ж наконец и вы.
"Не выявили" = "не опубликовали"
> Наверно не там выявляливероятнее всего, да - тупиковые никем не используемые куски кода не вызвали особого энтузиазма у проверявших (а этот воспользовался роботом туповатым, хехехе).
"--x509-alt-username" - нет, этим в самом деле кто-то пользуется?Остальное - вообще какая-то ересь: OpenVPN to connect to an NTLM version 2 proxy
и т д.хотя, с другой стороны, это означает, что и openvpn повторяет все ошибки конкурентов, ради (якобы)борьбы с которыми и был придуман - пихание в код все большего и большего "ненужно", без возможности отключать эти тонны шлака.
А как же https://www.opennet.ru/opennews/art.shtml?num=46301
?
Никакой аудит не может выявить все ошибки. Иначе, получилась бы программа, не содержащая ошибок, а такое невозможно (за исключением вот таких случаев - https://www.opennet.ru/opennews/art.shtml?num=23011 - когда можно математически доказать отсутствие ошибок).
> Никакой аудит не может выявить все ошибки. Иначе, получилась бы программа, не
> содержащая ошибок, а такое невозможно (за исключением вот таких случаев -Это не ты в соседней позорился с этими спецификациями? Нет? А зачем повторяешь чужее враньё...
> https://www.opennet.ru/opennews/art.shtml?num=23011 - когда можно математически доказать
> отсутствие ошибок).#>>формального подтверждения 100% отсутствия ошибок
#>>не подвержен большинству известных хакерских атак
#>>большинству известных
#>>большинству/0
>> Никакой аудит не может выявить все ошибки. Иначе, получилась бы программа, не
>> содержащая ошибок, а такое невозможно (за исключением вот таких случаев -
> Это не ты в соседней позорилсяСнимаю! Приношу извинения!! Попал в ловушку семантики.
>> https://www.opennet.ru/opennews/art.shtml?num=23011 - когда можно математически доказать
>> отсутствие ошибок).
> #>>формального подтверждения 100% отсутствияЕсли это читать, как "довольно неискреннее, лукавое подтвержденеи полного отсутствия ошибок", то _все возражения_ снимаются, отпадают, чтоб не сказать "отсутствуют" !!
> Если это читать, как "довольно неискреннее, лукавое подтвержденеи полного отсутствия ошибок", то _все возражения_ снимаются, отпадают, чтоб не сказать "отсутствуют" !!Куда катится наше образование? Технари не понимают словосочетания "формальное доказательство" и умудряются попадать в семантические ловушки сталкиваясь с описанием формального доказательства.
Поколение ЕГЭ? Я кстати пару лет назад писал ЕГЭ по математике, и он мне показался вполне вменяемым способом оценить школьные знания по математике. Для физ-мат школ слабоват, наверное, разрешающей способности недостаточно: те шансов не имеют попасть мимо диапазона 90-100 баллов, с медианой 95+. Но для просто хороших школ будет достаточно. Странно... странно... Может ты наоборот из старпёров и являешь собой демонстрацию убожества советского образования? Может его зря хвалят?
> ...демонстрацию убожества советского образования? Может его зря хвалят?Хреново у тебя с семантикой, немилчеловек.
>> ...демонстрацию убожества советского образования? Может его зря хвалят?
> Хреново у тебя с семантикой, немилчеловек.Да, я знаю, она слишком много артефактов морально устаревшей аристотелевой логики несёт в себе. Но... как говорится, мы работаем над этим. Ща я J.Pearl'а одолею, будет получше.
>Я кстати пару лет назад писал ЕГЭ по математикеПару лет сделали из тебя эксперта по оценке знаний? Ну-ну. Иди делай лабы, студент.
>>Я кстати пару лет назад писал ЕГЭ по математике
> Пару лет сделали из тебя эксперта по оценке знаний? Ну-ну. Иди делай
> лабы, студент.Нет, родный. Способы измерения всяких реальных и не очень явлений -- это часть моей специальности.
> ЕГЭ
> и он мне показался вполне вменяемымСтавить галочки в ответах и обезьяну научить можно, и получит она среднюю оценку "удовлетворительно", выбирая абсолютно случайные ответы.
Аудит проводили компании прикормленные АНБ.
Можно подумать, что если бы были не прикормленные...
Пойдем дальше..
А есть такие, которые не прикормлены спецслужбами?
Я! У меня и шапочка имеется.
OpenVPN нафиг не нужен, если есть vtun.
vtun нафиг не нужен, если есть RFC 1149.
Уж лучше RFC 2549, там есть QoS.
RFC 1149 нафиг не нужен, если есть RFC 2549