The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

12.05.2017 09:49  Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита безопасности

Сформирован корректирующий выпуск пакета OpenVPN 2.4.2, в состав которого вошли исправления, устраняющие проблемы, выявленные в результате независимого аудита механизмов шифрования. Одновременно опубликован отчёт с раскрытием деталей аудита. Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt.

На основании выработанных в ходе проверки рекомендаций в OpenVPN 2.4.2 внесено семь исправлений: устранена одна опасная проблема, одна уязвимость средней степени опасности и пять несущественных недоработок. В частности, исправлены следующие уязвимости:

  • CVE-2017-7478 - аутентифицированый пользователь может инициировать отказ в обслуживании VPN-сервера через отправку слишком большой порции данных в пакете P_CONTROL. Из-за простоты проведения атаки проблеме присвоен высокий уровень опасности. Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме не подвержены;
  • CVE-2017-7479 - аутентифицированый пользователь может вызвать крах OpenVPN через переполнение счётчика пакетов Packet-ID. Для совершения атаки нужно отправить несколько сотен гигабайт данных.


  1. Главная ссылка к новости (https://ostif.org/the-openvpn-...)
  2. OpenNews: Завершён аудит проекта OpenVPN
  3. OpenNews: Надёжность OpenVPN будет проверена в ходе аудита
  4. OpenNews: Аудит VeraCrypt выявил 8 критических уязвимостей
  5. OpenNews: Спецслужбы Германии провели аудит TrueCrypt
  6. OpenNews: Доступен релиз OpenVPN 2.4.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openvpn
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, X3asd, 10:06, 12/05/2017 [ответить] [смотреть все]
  • +1 +/
    > переполнение счётчика пакетов Packet-ID. Для совершения атаки нужно отправить несколько сотен гигабайт данных

    не так уж и много..

    жесть что разработчики сами не догадались что кто-то может *действительно* использовать openvpn-соединение -- для дел (передавать через соединение сотни гогобайт полезных данных), а не подключиться на 3 минуты ради пары лулзов (пару сообщений на форумы)..

     
     
  • 2.2, F, 10:21, 12/05/2017 [^] [ответить] [смотреть все]
  • +13 +/
    Вы, уважаемый, не говорите за разрабов, тем более такие фантазии. OpenVPN в проде стоит годами, и опыт накоплен - а "может вызвать" и "всегда вызывает" все же разные вещи.
     
  • 2.8, Anonplus, 14:05, 12/05/2017 [^] [ответить] [смотреть все]
  • +/
    Возможно, там надо передать очень много сотен гигабайт за сессию. Учитывая, что OpenVPN чудовищно режет скорость:

    "Предположим, вы подключаетесь к серверу в США из России через OpenVPN со стандартными значениями буферов сокета. У вас широкий канал, скажем, 50 МБит/с, но в силу расстояния, пинг составляет 100 мс. Как вы думаете, какой максимальной скорости вы сможете добиться? 5.12 Мбит/с."

    пруф: https://habrahabr.ru/post/246953/)

    это может быть сложной задачей (сессия окончена/порвалась - баг не случился).

     
     
  • 3.9, Anonplus, 14:09, 12/05/2017 [^] [ответить] [смотреть все]
  • –1 +/
    Для тех, кому лень читать по ссылке: изменение размера буферов по умолчанию позволило поднять скорость по UDP с 30 до 80 мегабит. В 2,5 раза, Карл на ровном месте.
     
     
  • 4.13, X3asd, 16:18, 12/05/2017 [^] [ответить] [смотреть все]
  • +1 +/
    > Для тех, кому лень читать по ссылке: изменение размера буферов по умолчанию
    > позволило поднять скорость по UDP с 30 до 80 мегабит. В
    > 2,5 раза, Карл на ровном месте.

    это всем-известная проблема -- и конено же в старых версиях openvpn в конфигах люди меняли размеры этих буфферов

     
  • 3.19, user455, 18:59, 15/05/2017 [^] [ответить] [смотреть все]  
  • +/
    > Учитывая, что OpenVPN чудовищно режет скорость:

    на tcp соединении  с некорректными mss

     
  • 2.10, Аноним, 15:02, 12/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Несколько сотен гигабайт данных 8212 это, как я понимаю, имеются в виду пакет... весь текст скрыт [показать]
     
  • 2.18, Харли, 06:32, 15/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Аналитик или ТП делает в УЯх select * from ... и получает те самые гиги как из пушки, со всеми вытекающими.
     
  • 1.3, sage, 10:50, 12/05/2017 [ответить] [смотреть все]  
  • +1 +/
    >Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме не подвержены

    Нет, они тоже подвержены проблеме, но злоумышленнику нужно иметь tls-auth или tls-crypt-ключ. Например, если это публичный VPN, то такие ключи у злоумышленника будут.

     
     
  • 2.12, X3asd, 16:16, 12/05/2017 [^] [ответить] [смотреть все]  
  • +/
    >> Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме
    > не подвержены
    >
    > Нет, они тоже подвержены проблеме, но злоумышленнику нужно иметь tls-auth или
    > tls-crypt-ключ. Например, если это публичный VPN, то такие ключи у злоумышленника будут.

    в новости сказано что уязвимость доступна для *аутентифицированного* пользователя...

    как считаешь если пользователь уже прошёл аутентифицикацию -- может ли быть такого что у него не оказалось каких-то-там tls-auth-ключей?

    если tls-auth-ключа нет -- то даже до аутентификации дело дойти не может

     
  • 1.11, mumu, 15:30, 12/05/2017 [ответить] [смотреть все]  
  • –1 +/
    OpenConnect пока не проверяли?
     
     
  • 2.14, Аноним, 16:23, 13/05/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    кому нужно местечковое подельице в ещё непроверенных пучинах опенсорца?
     
     
  • 3.15, Аноним, 18:08, 13/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну да, троян - предпочтительнее.
     
     
  • 4.16, Аноним, 19:13, 13/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну куда ты зарываешься-то Опенконнект это клиент для никому ненужного эниконнек... весь текст скрыт [показать]
     
  • 2.17, t28, 16:21, 14/05/2017 [^] [ответить] [смотреть все]  
  • +/
    > OpenConnect пока не проверяли?

    Было бы неплохо.  %)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor