The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]



"Обновление OpenVPN 2.4.4 с устранением уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от opennews on 28-Сен-17, 09:56 
Сформированы (https://sourceforge.net/p/openvpn/mailman/message/36054607/) корректирующие выпуски пакета для создания виртуальных частных сетей OpenVPN  2.3.18 и 2.4.4 (http://openvpn.net/index.php/open-source/downloads.html), в которых устранена уязвимость (https://guidovranken.wordpress.com/2017/09/27/one-more-openv.../) (CVE-2017-12166 (https://community.openvpn.net/openvpn/wiki/CVE-2017-12166)), которая может привести к удалённому переполнению буфера и выполнению кода злоумышленника. Для большинства пользователей проблема не представляет опасности, так как проявляется только при явном включении в настройках режима "key method 1", который давно помечен как устаревший (использовался в OpenVPN 1.x, отключен по умолчанию начиная с 2005 года (https://www.opennet.ru/opennews/art.shtml?num=5353) и запланирован к удалению в ветке OpenVPN 2.5).


Кроме того, в новой версии представлена большая порция разноплановых мелких исправлений и устранена специфичная для Windows уязвимость (https://community.openvpn.net/openvpn/wiki/NSISBug1125) в установщике NSIS, позволяющая поднять свои привилегии в системе.

URL: https://guidovranken.wordpress.com/2017/09/27/one-more-openv.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=47284

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +3 +/
Сообщение от пох on 28-Сен-17, 09:56 
"мы аудитили-аудитили, да так и не выаудитили".

Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt.

так что имейте в виду.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +1 +/
Сообщение от Аноним (??) on 28-Сен-17, 10:00 
А как же PVS-Studio???
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –3 +/
Сообщение от пох on 28-Сен-17, 10:25 
> А как же PVS-Studio???

а чего, им кто-то _заплатил_ за аудит?
Тем-то ребятам - заплатили. "А оно - вот..."

Причем нашли они тогда только малополезную муру - вероятно, ограничившись анализом только наиболее актуальной части кода (о чем скромненько промолчали). Хотя в секьюрити-аудите как раз и надо проверять мертвые и давно неактуальные куски в первую очередь. Очень часто там прячутся вечноживые эксплойты.

Так что пользователям веракрипты - насторожиться. Скорее всего, лягушатники и ее проверяли тяп-ляп.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –2 +/
Сообщение от Волосатый шмель on 28-Сен-17, 12:04 
> Для большинства пользователей проблема не представляет опасности, так как проявляется только при явном включении в настройках режима "key method 1", который давно помечен как устаревший

Видимо, из-за этого аудиторам было [ник комментатора выше] на такую уязвимость.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +2 +/
Сообщение от dry (ok) on 28-Сен-17, 12:16 
Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем, а аудиторы это такие волшебники на сказочных конях и чудотворным сканером, который сразу показывает где что не так.
Увы, но дело обстоит сильно иначе, мир гораздо сложнее.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –1 +/
Сообщение от пох on 28-Сен-17, 12:52 
> Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем
> а аудиторы это такие волшебники на сказочных конях

а этот баг нашел - волшебник? Или обычный разработчик, обычным методом пристального вглядывания в подозрительные места в коде - ровно тем, чем, по идее, должны были заниматься эти аудиторы?

> Увы, но дело обстоит сильно иначе, мир гораздо сложнее.

аудит бесполезная трата времени и денег, надпись "наш проект прошел аудит" - бессмысленная рекламная наклейка, я вас правильно понял?

В общем-то, если на такой надписи будет ссылка на тех же лягушатников, очевидно, именно так и следует думать.

проектик-то, кстати, весьма небольшой, криптографию за него, традиционно, делает openssl (которая сама дырява насквозь), то есть задача была, мягко говоря, не особенно и сложной.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от Andrey Mitrofanov on 28-Сен-17, 12:56 
>> Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем
>> а аудиторы это такие волшебники на сказочных конях
> а этот баг нашел - волшебник?

Нет, поэтому ты сморозил наивнои юнно.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –1 +/
Сообщение от пох on 28-Сен-17, 13:03 
> Видимо, из-за этого аудиторам было [ник комментатора выше] на такую уязвимость.

скорее, они просто очень хотели побыстрее смузи и новый ипхон на вырученные деньги.

Представь (я понимаю, сложно) себя на месте админа - который лет пять назад включает этот режим для совместимости с необновляющимися юзерами, давно про него забыл (все ж работает, никаких указаний что "устаревшее" еще и опасно, а не просто отключает ненужный улучшизм в протоколе, нет), или вовсе уволился, сервис при этом старательно обновляют, считают надежным, вон, аудит же ж прошел!

разработчики, в принципе, тоже так думают, и не идут путем openssh, у которого то dsa auth отвалится без объявления войны, то ssh1 из клиента (клиента, блин!) выпилят то еще что улучшат (а roaming, в котором уже была дыра, нежно берегут), еще через пару лет подумывают может выпилить.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +1 +/
Сообщение от Аноним (??) on 28-Сен-17, 13:42 
Тсс, Карпова призовёшь!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от Аноним (??) on 28-Сен-17, 14:42 
> проектик-то, кстати, весьма небольшой,

Сразу видно человека который сорцы не смотрел, но мнение имеет. Назвать opvenvpn 2.4.x небольшим проектиком? Нет, это еще не винда, конечно, но по сравнению с другими vpn кода там дофига и сбоку бантик.

И вообще, смешной ты тип. MS с своими 70 000 макак, или сколько их там, винду релизит и в ней потом critical быают. Один только rpc червяки гасят от NT до десятки. Странно что ты не критиканишь винду. Что, продажи портятся, критика дорогая? А тут продажи не страдают - можно и покритиканить?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –1 +/
Сообщение от Аноним (??) on 28-Сен-17, 14:50 
> а чего, им кто-то _заплатил_ за аудит?

А у них так вроде нельзя, там до сих пор 90е, мыслят как сельпо - продукты продают. Вот вам PVS за кучу денег, а потом сами с ним тесь конем^W единорогом. Заказать аудит? Хаха, гораздо веселее если клиент не только заплатит тонну денег но и долбаться с чудо прогой будет сам. Жаль что конкуренты считают иначе.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

16. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –2 +/
Сообщение от пох on 28-Сен-17, 16:53 
> Назвать opvenvpn 2.4.x небольшим проектиком?

а что, сравнимо с той же palemoon? (сорцы - смотрел, ага)

> Нет, это еще не винда, конечно, но по сравнению с другими vpn кода там дофига и сбоку
> бантик.

стесняюсь спросить -а что вообще делает это дофига кода, если другие vpn без него обходятся (и иногда, при этом, совместимы с openvpn - см странную поделку университета цукубы)?

шифрование при этом используется готовое, tun/tap драйвер тоже готовый. privelege separation нет, конфиг отвратителен (чего стоит одно название параметра, вызвавшее уязвимость). Живет в силу своей примитивности и относительной кроссплатформенности, других положительных свойств не имея.

> И вообще, смешной ты тип. MS с своими 70 000 макак

"а у вас негров линчуют", ага.

причем бы тут - ms?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от пох on 28-Сен-17, 17:13 
> А у них так вроде нельзя, там до сих пор 90е, мыслят

я так понимаю, вполне можно, но, разумеется, дороговато выйдет. Это несколько другая задача, чем то, что рекламы ради делает Тот-Кого-Нельзя-Называть. Там смысл - показать что работает, баги находит. Смысл аудита - показать что код просмотрен незамыленным взглядом, и серьезные баги в нем маловероятны.

> как сельпо - продукты продают. Вот вам PVS за кучу денег,

студия, она вообще для другого. Это не замена аудиту (можно, конечно, использовать как один из инструментов), это для CI/CT. Ты аудит провел, заплатил мильярды нефти, а через час девелопер новый жырный ляп сажает. Можно, конечно, как в авиации - вешать табличку "аудит пройден", следующее исправление серьезного бага - через пять лет, когда найдутся деньги и время на повторный аудит (ага, так и летают).

> а потом сами с ним тесь конем^W единорогом. Заказать аудит? Хаха,
> гораздо веселее если клиент не только заплатит тонну денег но и
> долбаться с чудо прогой будет сам. Жаль что конкуренты считают иначе.

ты будешь смеяться, но долбаться он будет прежде всего со своим кодом, переделывая его так, чтобы свести количество срабатываний к нулю. Тяжелая и нудная работа (хотя и весьма полезная).
Без нее просто бестолку связываться с pvs, и с конкурентами тоже. Можно разово прогнать (это-то бесплатно), наковырять пару ошибок, и гордиться собой, но это совершенно не означает что еще пара сотен не осталась в коде, или не будет внесена прямо сейчас. Оно тебе об этом даже сообщает, но в куче срабатываний, вызванных просто неаккуратным кодом, ты этого не заметишь.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от name (??) on 28-Сен-17, 20:38 
Не, так то openvpn пишет в доги про deprecated ключи. А вот если админ периодически не смотрит в логи, то ты сам понимаешь (я очень надеюсь), кем он становится.*
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +2 +/
Сообщение от angra (ok) on 29-Сен-17, 00:04 
> А вот если админ периодически не смотрит в логи, то ты сам понимаешь (я очень надеюсь), кем он становится.*

Если когда-нибудь ты вырастешь из админа локалхоста до полноценного, то с удивлением обнаружишь, что в нагруженных системах в логах за час набегает больше текста, чем ты прочитал за всю свою жизнь.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от user (??) on 29-Сен-17, 00:19 
Сколько напыщенности. Я так понимаю Полноценные Ынтырпрайз(тм) админы всё же логи не перечитывают периодически (пусть даже бегло)? Или только когда всё сломалось? И, да логи нагруженных систем(тм), которые льются по нескольку гигабайт в сутки, анализируются полуавтоматом, хотя бы по ключевым фразам. И, да, OpenVPN с дефолтным логгированием не особо активно пишет логи, даже под нагрузкой ~50 пользователей на сервер.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –3 +/
Сообщение от ИБ on 29-Сен-17, 00:38 
Малыш, а ты точно полноценный админ? Много там набегает текстов у опенвпна? grep -ie "depricated\|error\|warning" для слабаков? Если не читаешь примечания к релизу и логи впн-сервера - вон из профессии. Вот ваще без вариантов.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от Аноним (??) on 29-Сен-17, 00:51 
> я так понимаю, вполне можно, но, разумеется, дороговато выйдет. Это несколько другая
> задача, чем то, что рекламы ради делает Тот-Кого-Нельзя-Называть

Раньше они считали что главное программу впарить, а потом хоть потоп. Они передумали?

> Там смысл - показать что работает, баги находит.

Таким главное впарить, срубив круглую сумму, а дальнейшая участь клиента до 3.14-ды. Классический бизнес эпохи Win95.

> Смысл аудита - показать что код просмотрен незамыленным взглядом,
> и серьезные баги в нем маловероятны.

Ты вообще сорец openvpn видел? Впн может быть в 50 раз проще. Но openvpn покусал энтерпрайз. Он даже после 10 аудитов будет с багами. Openvpn используется бизнесом всех мастей, его --help не умещается на монитор. Это показатель.

> студия, она вообще для другого. Это не замена аудиту (можно, конечно, использовать
> как один из инструментов), это для CI/CT.

Для CI коверити себя внятнее позиционирует. Прямо из гит-репы утянут, прожуют по коммитам и вынесут вердикт. Вон на гитхабе все бэджиками обвесились. И им реклама и народу удобно. И вообще, неплохая и доходчивая услуга.

> серьезного бага - через пять лет, когда найдутся деньги и время
> на повторный аудит (ага, так и летают).

Врядли ты станешь спорить что качество софта у авиаторов выше среднего. Но у них специфичные подходы и конская стоимость, но это перевешивается ценой ошибок.

> ты будешь смеяться, но долбаться он будет прежде всего со своим кодом,
> переделывая его так, чтобы свести количество срабатываний к нулю.

Оно как бы да, но я даже боюсь себе представить как такое делают пользователи "студий". У таких обычно весь процесс разработки - как будто на дворе 1995. И никакие скрамы и канбаны таким болотам не помогут.

> это совершенно не означает что еще пара сотен не осталась в
> коде, или не будет внесена прямо сейчас.

И даже успешный прогон не гарантирует полного отсутствия ошибок. Всего лишь понижается число багов на kloc, но если код огромный, в нем все-равно можно будет найти ошибки.

> Оно тебе об этом даже сообщает, но в куче срабатываний, вызванных просто неаккуратным кодом, ты
> этого не заметишь.

Опенвпн это обычный энтерпрайз среднего пошиба, поэтому они не будут отлавливать ошибки с тщанием и затратами как у авиаторов, извини.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –1 +/
Сообщение от пох on 29-Сен-17, 09:45 
> Много там набегает текстов у опенвпна?

если ты тоже не видел vpn-серверов не на 50 юзеров, то у меня для тебя плохие новости...

> grep -ie "depricated\|error\|warning" для слабаков?

когда заранее знаешь правильный ответ? (кстати, ты его не знаешь, с нашего сервера тебе этих еггогов высыплется мегабайтик, поскольку это в том числе отвалы дрянных 4g, а искомой строчки там не будет)

Софтина прошла аудит. Софтина у тебя работает много лет, регулярно, кстати, пожарно апгрейдясь на предмет дыр. Софтина нигде не заявляет что эту фичу использовать нельзя вообще, они говорят "ну мы тут что-то улучшили, хрен его поймешь чего, мы не эксперты в криптографии, так, с пятого на десятое прочитали мурзилку про ipsec, реализовав из нее то, что показалось несложно", и ломается совместимость со старыми клиентами (которые могут быть очень далеко и вовсе не люди, поэтому быстренько сбегать заставить их поапгрейдиться у тебя не получится). Попрешься ли ты по этому поводу на точку где-нибудь в трехста километрах от чудного города Когалыма, в дерьме и на морозе ковыряться с апгрейдом ржавого железа, сливающего оттуда телеметрию?
(впрочем, всезнайки, вычитавшие правильный ответ прямо на этой странице, конечно же, ответят "да")

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +1 +/
Сообщение от Аноним (??) on 29-Сен-17, 11:42 
> его --help не умещается на монитор. Это показатель.

man --help тоже не умещается на монитор. Это тоже показатель.

Писши исчо, аналитег!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +1 +/
Сообщение от Аноним (??) on 29-Сен-17, 12:13 
Напыщенности в его словах ноль, была констатация факта.

> админы всё же логи не перечитывают периодически (пусть даже бегло)

Некоторые конечно же перечитывают, одни зачитывают до дыр одн фрагмент одного лога, другие изредка перечитывают лог целиком, третьи упиваются груповым чтением с надрывом и болью в голосе, четвертые после каждого мегабайта беглого чтения лезут на форум писать всякую чушь.

> Или только когда всё сломалось?

Поздно читать логи когда почки отбили.

> анализируются полуавтоматом, хотя бы по ключевым фразам

Скорее напиши сюда список своих ключевым фраз для OpenVPN и Windows Event logs.
И нас жизни научишь и начинающим не-интерпрайз админам подмога.

> OpenVPN с дефолтным логгированием не особо активно пишет логи

Т.е. ты отважно читаешь логи только после того как клиенты уже начали жаловаться и ты включил вербос. Славно работаешь.

> Я так понимаю Полноценные Ынтырпрайз(тм)

Пиши больше о своём понимании. Смешно получается!

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +2 +/
Сообщение от Аноним (??) on 29-Сен-17, 12:48 
> Малыш, а ты точно полноценный админ?

Я, я точно неполноценный админ! Папа, сделай меня полноценным.

> Много там набегает текстов у опенвпна?

А ты стало быть не знаешь? Примерно килобайт на каждый успешный коннект или rekey.

> grep -ie "depricated\|error\|warning" для слабаков?

Для слабаков. Не слабак бы
  - как минимум добавил слово fail
  - обплевался бы от слова warning, потому что наелся уже насыто
  - отказался бы от grep, а использовал бы централизованный сбор логов и корреляционную тулзу
  - не выпендривался бы на форуме с откровениями админа локалхоста
  - написал бы своё реальное имя и дал бы ссылку на свою страничку/контакты

> Если не читаешь примечания к релизу

Вот тут поподробней. Как у тебя выглядит процедура чтения примечания к релизам? Пошагово.

# dpkg -l  | wc -l
301

Вот прямо к 301 пакету на openvpn-сервере. Или ты к одним пакетам читаешь а к другим нет?

> Если не читаешь логи впн-сервера - вон из профессии. Вот ваще без вариантов.

А вот за это спасибо - смешно! Этой фразой можно стебать коллег.))

> ИБ

Да, я заметил, что ИБ. Опять школу прогуливаешь, "папаша"?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

27. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от Аноним (??) on 29-Сен-17, 12:55 
> Назвать opvenvpn 2.4.x небольшим проектиком?

Для тебя, надо понимать большой. Для него небольшой. Дальше?

> И вообще, смешной ты тип. Странно что ты не критиканишь винду.

Скорее ты смешной тип. Топик про OpenVPN, а ты _требуешь_ от других людей критиковать винду. Ты, вообще, в своём уме?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от пох on 29-Сен-17, 13:06 
> Ты вообще сорец openvpn видел? Впн может быть в 50 раз проще.
> Но openvpn покусал энтерпрайз. Он даже после 10 аудитов будет с

их недопрочитанная книжка по ipsec'у покусала - они хотели сделать "все так же, но попроще" (все кто делали по книжке, напарывались на миллиарды проблем с совместимостью). отсюда миллиард настроек и стопиццот вариантов авторизации, "как у больших".

при этом код у них, полагаю, не настолько плох, как можно подумать - серьезных проблем именно в коде, а не очередном heartbleed, за всю историю было крайне мало.
А вот чем занимались лягушатники-аудиторы и стоит ли им доверять в других случаях - вопрос, по-моему, уже не открыт, а закрыт.


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от Аноним (??) on 30-Сен-17, 01:56 
> а что, сравнимо с той же palemoon? (сорцы - смотрел, ага)

В palemoon кода больше. А в мозильском движке никогда не было недостатка в vuln-ах btw.

> стесняюсь спросить -а что вообще делает это дофига кода, если другие vpn
> без него обходятся

Энтерпрайзные клиенты хотели чтобы оно парило, жарило и крестиком вышивало. Теперь список опций не умещается на мой экран, уступая разве что ffmpeg.

> (и иногда, при этом, совместимы с openvpn -
> см странную поделку университета цукубы)?

Ты размер цуки видел? Еще более жирный vpn. А революцию по багам на kloc они врядли смогли. Там куча протоколов впн и оно тоже энтерпрайзное. У них обоих есть навороты для энтерпрайзного управления и всего такого, корпоративщики и коммерческие хостинги очень просили.

> шифрование при этом используется готовое,

Думаешь, програмеры среднего пошиба смогут лучше?

> tun/tap драйвер тоже готовый.

Актуально только для винды, у которой для этого почему-то не сложилось апи. У остальных tun/tap давно часть системы. Но это относительно немного кода.

> кроссплатформенности, других положительных свойств не имея.

Живет потому что все в одном, полно протоколов - ведроиды и яплы могут конектиться родным менеджером к серверу. Еще цуки любят абибас gfw. Это способствует признанию большой, технически продвинутой аудиторией молодых китайцев.

> причем бы тут - ms?

При том что принципы разработки софта и ресурсные соображения распостраняются на всех одинаково.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

30. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от Аноним (??) on 30-Сен-17, 01:59 
> Для тебя, надо понимать большой. Для него небольшой. Дальше?

Дальше смотрим на другие vpn, сравниваем, делаем выводы. Читаем дядюшку DJB на тему того что такое уязвимости и откуда они берутся. Делаем выводы.

> Скорее ты смешной тип. Топик про OpenVPN, а ты _требуешь_ от других
> людей критиковать винду.

Это где это я такое потребовал? Я всего лишь заметил что 70К офисных планктонин выпускают продукт с vuln-ами, несмотря на гигантское превосходство в человекогодах.

> Ты, вообще, в своём уме?

У меня такой же вопрос.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –1 +/
Сообщение от пох on 30-Сен-17, 13:44 
> В palemoon кода больше. А в мозильском движке никогда не было недостатка в vuln-ах btw.

ну вот это уже тот размер, когда аудит за разумное время и деньги, скорее всего, нереален (а за неразумное бесполезен - пока ты копаешься с версией 56, обезьянки наблямцали по клавиатурам еще с полсотни мег непроверенного кода, можно начинать заново).
А с openvpn - и скорость гoвнокодинга в сотни раз меньше, и размер этого кода.
Вполне можно было аккуратно его просмотреть. (тем более, что кто-то все же это сделал, только денег дали за это не ему ;-)

> Энтерпрайзные клиенты хотели чтобы оно парило, жарило и крестиком вышивало.

ну а как иначе-то? Это как раз базовое требование - заманаешься ты вручную тыще-двум юзерам пароли выписывать и следить, кого из них уволили, кого в другой отдел перевели и надо срочно менять ему доступы (вместе с гейтом, если vpn совсем примитивный). Правда, они бы еще и нормальное разделение привиллегий хотели, а не ту имитацию, что позволяет только весь код целиком запустить как виндовый service.

>> шифрование при этом используется готовое,
> Думаешь, програмеры среднего пошиба смогут лучше?

нет, Б-же упаси! Просто это на порядок снижает требуемую квалификацию аудитора - одно дело, быстренько пробежаться по используемым примитивам libcrypto, чтобы убедиться, что там не используются, если специально не просить, сомнительные и устаревшие алгоритмы, или просто негодные для поточного шифрования, совсем другое - анализировать само шифрование, пытаясь понять - это вот вообще работает, или в результате всех этих мегавычислений из-за мелкой ошибки получается нечто, неотличимое от обычного xor.

> Ты размер цуки видел? Еще более жирный vpn.

ну так в нем, помимо опен-совместимости, еще свой отдельный протокол, и сама структура гораздо сложнее. А размер все еще довольно разумный. Жаль что иппонец, видимо, получил вожделенного phd, или как там у них это называют, и тут же забил на проект.

> Живет потому что все в одном, полно протоколов - ведроиды и яплы могут конектиться
> родным менеджером к серверу.

они-то и к нормальному ipsec-концентратору могут коннектиться. Но его, во-первых, из дерьма и палок не очень-то соберешь, во-вторых, вот это - действительно, сцуко сложно.
Ну и до кучи - примитивный udp-туннелинг, в отличие от энтерпрайзных технологий, внезапно оказался нечувстителен ни к натам, ни к кривым файрволлам без дополнитеных танцев с граблями.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от Andrey_Karpov (ok) on 30-Сен-17, 17:10 
Тот-кого-нельзя-называть, просто хочет оставить маленький комментарий

> ты будешь смеяться, но долбаться он будет прежде всего со своим кодом, переделывая его так, чтобы свести количество срабатываний к нулю. Тяжелая и нудная работа (хотя и весьма полезная). Без нее просто бестолку связываться с pvs, и с конкурентами тоже. Можно разово прогнать (это-то бесплатно), наковырять пару ошибок, и гордиться собой, но это совершенно не означает что еще пара сотен не осталась в коде, или не будет внесена прямо сейчас. Оно тебе об этом даже сообщает, но в куче срабатываний, вызванных просто неаккуратным кодом, ты этого не заметишь.

Есть ещё один вариант. Отложить существующие баги на потом, и анализировать для начала только новый код. Это не подходит, если речь идёт о поисках потенциальных уязвимостей. В этом случае неважно, старый баг или новый. Но с точки зрения легкого начала использования - очень хороший вариант. Старые ошибки, как правило не так существенны, как новые (работает ведь как-то, я серьезное уже исправлено). Подробнее: https://www.viva64.com/ru/m/0032/

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

33. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –1 +/
Сообщение от Andrey_Karpov (ok) on 30-Сен-17, 17:12 
> Тсс, Карпова призовёшь!

Слушаю и повинуюсь, – скрипнул зубами несправедливо оскорбленный джинн. (c)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  +/
Сообщение от Аноним (??) on 30-Сен-17, 19:03 
> деньги, скорее всего, нереален (а за неразумное бесполезен -

Поэтому гугл и мозила объявили награду и многие баги им стали заносить горяченькими на блюдечке. Тоже вариант.

> А с openvpn - и скорость гoвнокодинга в сотни раз меньше, и размер этого кода.

Однако код в целом достаточно жирный и наворачивают его достаточно активно. Поскольку ресурсов у них меньше, проблема остается.

> Вполне можно было аккуратно его просмотреть.

Чтобы такой объем кода аккуратно просматривать - надо все каверити припахать и периодически повторять. И даже так что-нибудь может проскочить.

> (тем более, что кто-то все же это сделал, только денег дали за это не ему ;-)

А может и ему. Откуда ты знаешь что все блэкхэты на черном рынке делают?

> ну а как иначе-то? Это как раз базовое требование - заманаешься ты
> вручную тыще-двум юзерам пароли выписывать и следить, кого из них уволили,

Ну тогда и баги в комплекте уж извольте. Тут уж или простое и безглючное, или нафиченое но извольте баги собирать.

> и нормальное разделение привиллегий хотели, а не ту имитацию, что позволяет
> только весь код целиком запустить как виндовый service.

В линухе даже что-то такое есть, немного кривоватое но работает. Как оно в винде работает хрен бы его знает.

> нет, Б-же упаси! Просто это на порядок снижает требуемую квалификацию аудитора -
> одно дело, быстренько пробежаться по используемым примитивам libcrypto,

Проблема в том что либы тоже надо бы аудитить. Как показал openssl - его писали те кто лишь чуть лучше упомянутых. SSL и TLS сами по себе очень сложные, там много фич, позволяющих все нагнуть креативом со стороны атакующего.

> ну так в нем, помимо опен-совместимости, еще свой отдельный протокол, и сама
> структура гораздо сложнее. А размер все еще довольно разумный.

Все познается в сравнении. У "просто vpn" бинарь кил 50. У цуки бинарь мега три.

> называют, и тут же забил на проект.

Иппонец забил а дело живет. На то оно и опенсорс.

> они-то и к нормальному ipsec-концентратору могут коннектиться.

Я не думаю что это интересует большинство пользователей цуки.

> Но его, во-первых, из дерьма и палок не очень-то соберешь, во-вторых

, нафиг не упало. Ставят несколько впн серверов и используют более вменяемые протоколы. Не застревающие на половине роутеров, фаеров и натов по дороге и не требующих phd для конфигурирования.

> вот это - действительно, сцуко сложно.

Поэтому ipsec-ом мало кто пользуется. Тупиковая ветвь эволюции. Его даже из mandatory в ipv6 убрали - все очень уж плевались на такое требование в mandatory при таком уровне использования. Много работы и при том вникуда. На конкурентное преимущество не тянет.

> Ну и до кучи - примитивный udp-туннелинг, в отличие от энтерпрайзных технологий,
> внезапно оказался нечувстителен ни к натам, ни к кривым файрволлам без
> дополнитеных танцев с граблями.

Есть такая штука - overengineering. До добра он еще никого не доводил. Это касается и многих других протоколов семейства "designed by committee". Что SIP, что XMPP какой. Тоже переусложненные и кривые вещицы не от мира сего. Потом приходит какой-нибудь выскочка и делает в 20 раз проще и в 5 раз лучше. Работает этот мир так.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –1 +/
Сообщение от пох on 01-Окт-17, 12:28 
> Да, я заметил, что ИБ.

видимо, по неумению пользоваться grep и shell escapes, а так же невладению английским на школьном уровне? ;-)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

36. "Обновление OpenVPN 2.4.4 с устранением уязвимости"  –1 +/
Сообщение от Аноним (??) on 03-Окт-17, 03:28 
Ну в том и проблема, что ты делаешь выводы после чтения дяди. Попробуй читать нескольких разных дядь для начала. Потом попробуй в чем-то разобраться сам. Это если ты хочешь про дядь. А каким образом тебя у тебя разговор про объем перетекает в дядь большой вопрос.

"Странно что ты не критиканишь винду. Что, продажи портятся, критика дорогая? А тут продажи не страдают - можно и покритиканить?" Вот это кривляние разве не призыв критиковать винду? Может быть это призыв её хвалить?

> Ты, вообще, в своём уме?
> У меня такой же вопрос

И как ты себе на него отвечаешь?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor