The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление OpenVPN 2.4.4 с устранением уязвимости

28.09.2017 08:27

Сформированы корректирующие выпуски пакета для создания виртуальных частных сетей OpenVPN 2.3.18 и 2.4.4, в которых устранена уязвимость (CVE-2017-12166), которая может привести к удалённому переполнению буфера и выполнению кода злоумышленника. Для большинства пользователей проблема не представляет опасности, так как проявляется только при явном включении в настройках режима "key method 1", который давно помечен как устаревший (использовался в OpenVPN 1.x, отключен по умолчанию начиная с 2005 года и запланирован к удалению в ветке OpenVPN 2.5).

Кроме того, в новой версии представлена большая порция разноплановых мелких исправлений и устранена специфичная для Windows уязвимость в установщике NSIS, позволяющая поднять свои привилегии в системе.

  1. Главная ссылка к новости (https://guidovranken.wordpress...)
  2. OpenNews: Уязвимость в OpenVPN, которая может привести к выполнению кода на сервере
  3. OpenNews: Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита безопасности
  4. OpenNews: Завершён аудит проекта OpenVPN
  5. OpenNews: Доступен релиз OpenVPN 2.4.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openvpn
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (32) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, пох (?), 09:56, 28/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "мы аудитили-аудитили, да так и не выаудитили".

    Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt.

    так что имейте в виду.

     
     
  • 2.2, Аноним (-), 10:00, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А как же PVS-Studio???
     
     
  • 3.3, пох (?), 10:25, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А как же PVS-Studio???

    а чего, им кто-то _заплатил_ за аудит?
    Тем-то ребятам - заплатили. "А оно - вот..."

    Причем нашли они тогда только малополезную муру - вероятно, ограничившись анализом только наиболее актуальной части кода (о чем скромненько промолчали). Хотя в секьюрити-аудите как раз и надо проверять мертвые и давно неактуальные куски в первую очередь. Очень часто там прячутся вечноживые эксплойты.

    Так что пользователям веракрипты - насторожиться. Скорее всего, лягушатники и ее проверяли тяп-ляп.

     
     
  • 4.14, Аноним (-), 14:50, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а чего, им кто-то _заплатил_ за аудит?

    А у них так вроде нельзя, там до сих пор 90е, мыслят как сельпо - продукты продают. Вот вам PVS за кучу денег, а потом сами с ним тесь конем^W единорогом. Заказать аудит? Хаха, гораздо веселее если клиент не только заплатит тонну денег но и долбаться с чудо прогой будет сам. Жаль что конкуренты считают иначе.

     
     
  • 5.17, пох (?), 17:13, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А у них так вроде нельзя, там до сих пор 90е, мыслят

    я так понимаю, вполне можно, но, разумеется, дороговато выйдет. Это несколько другая задача, чем то, что рекламы ради делает Тот-Кого-Нельзя-Называть. Там смысл - показать что работает, баги находит. Смысл аудита - показать что код просмотрен незамыленным взглядом, и серьезные баги в нем маловероятны.

    > как сельпо - продукты продают. Вот вам PVS за кучу денег,

    студия, она вообще для другого. Это не замена аудиту (можно, конечно, использовать как один из инструментов), это для CI/CT. Ты аудит провел, заплатил мильярды нефти, а через час девелопер новый жырный ляп сажает. Можно, конечно, как в авиации - вешать табличку "аудит пройден", следующее исправление серьезного бага - через пять лет, когда найдутся деньги и время на повторный аудит (ага, так и летают).

    > а потом сами с ним тесь конем^W единорогом. Заказать аудит? Хаха,
    > гораздо веселее если клиент не только заплатит тонну денег но и
    > долбаться с чудо прогой будет сам. Жаль что конкуренты считают иначе.

    ты будешь смеяться, но долбаться он будет прежде всего со своим кодом, переделывая его так, чтобы свести количество срабатываний к нулю. Тяжелая и нудная работа (хотя и весьма полезная).
    Без нее просто бестолку связываться с pvs, и с конкурентами тоже. Можно разово прогнать (это-то бесплатно), наковырять пару ошибок, и гордиться собой, но это совершенно не означает что еще пара сотен не осталась в коде, или не будет внесена прямо сейчас. Оно тебе об этом даже сообщает, но в куче срабатываний, вызванных просто неаккуратным кодом, ты этого не заметишь.

     
     
  • 6.22, Аноним (-), 00:51, 29/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Раньше они считали что главное программу впарить, а потом хоть потоп Они переду... текст свёрнут, показать
     
     
  • 7.24, Аноним (-), 11:42, 29/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > его --help не умещается на монитор. Это показатель.

    man --help тоже не умещается на монитор. Это тоже показатель.

    Писши исчо, аналитег!

     
  • 7.28, пох (?), 13:06, 29/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты вообще сорец openvpn видел? Впн может быть в 50 раз проще.
    > Но openvpn покусал энтерпрайз. Он даже после 10 аудитов будет с

    их недопрочитанная книжка по ipsec'у покусала - они хотели сделать "все так же, но попроще" (все кто делали по книжке, напарывались на миллиарды проблем с совместимостью). отсюда миллиард настроек и стопиццот вариантов авторизации, "как у больших".

    при этом код у них, полагаю, не настолько плох, как можно подумать - серьезных проблем именно в коде, а не очередном heartbleed, за всю историю было крайне мало.
    А вот чем занимались лягушатники-аудиторы и стоит ли им доверять в других случаях - вопрос, по-моему, уже не открыт, а закрыт.


     
  • 6.32, Andrey_Karpov (ok), 17:10, 30/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Тот-кого-нельзя-называть, просто хочет оставить маленький комментарий

    > ты будешь смеяться, но долбаться он будет прежде всего со своим кодом, переделывая его так, чтобы свести количество срабатываний к нулю. Тяжелая и нудная работа (хотя и весьма полезная). Без нее просто бестолку связываться с pvs, и с конкурентами тоже. Можно разово прогнать (это-то бесплатно), наковырять пару ошибок, и гордиться собой, но это совершенно не означает что еще пара сотен не осталась в коде, или не будет внесена прямо сейчас. Оно тебе об этом даже сообщает, но в куче срабатываний, вызванных просто неаккуратным кодом, ты этого не заметишь.

    Есть ещё один вариант. Отложить существующие баги на потом, и анализировать для начала только новый код. Это не подходит, если речь идёт о поисках потенциальных уязвимостей. В этом случае неважно, старый баг или новый. Но с точки зрения легкого начала использования - очень хороший вариант. Старые ошибки, как правило не так существенны, как новые (работает ведь как-то, я серьезное уже исправлено). Подробнее: https://www.viva64.com/ru/m/0032/

     
  • 3.11, Аноним (-), 13:42, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тсс, Карпова призовёшь!
     
     
  • 4.33, Andrey_Karpov (ok), 17:12, 30/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Тсс, Карпова призовёшь!

    Слушаю и повинуюсь, – скрипнул зубами несправедливо оскорбленный джинн. (c)

     
  • 2.5, Волосатый шмель (?), 12:04, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Для большинства пользователей проблема не представляет опасности, так как проявляется только при явном включении в настройках режима "key method 1", который давно помечен как устаревший

    Видимо, из-за этого аудиторам было [ник комментатора выше] на такую уязвимость.

     
     
  • 3.10, пох (?), 13:03, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Видимо, из-за этого аудиторам было [ник комментатора выше] на такую уязвимость.

    скорее, они просто очень хотели побыстрее смузи и новый ипхон на вырученные деньги.

    Представь (я понимаю, сложно) себя на месте админа - который лет пять назад включает этот режим для совместимости с необновляющимися юзерами, давно про него забыл (все ж работает, никаких указаний что "устаревшее" еще и опасно, а не просто отключает ненужный улучшизм в протоколе, нет), или вовсе уволился, сервис при этом старательно обновляют, считают надежным, вон, аудит же ж прошел!

    разработчики, в принципе, тоже так думают, и не идут путем openssh, у которого то dsa auth отвалится без объявления войны, то ssh1 из клиента (клиента, блин!) выпилят то еще что улучшат (а roaming, в котором уже была дыра, нежно берегут), еще через пару лет подумывают может выпилить.

     
     
  • 4.18, name (??), 20:38, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не, так то openvpn пишет в доги про deprecated ключи. А вот если админ периодически не смотрит в логи, то ты сам понимаешь (я очень надеюсь), кем он становится.*
     
     
  • 5.19, angra (ok), 00:04, 29/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А вот если админ периодически не смотрит в логи, то ты сам понимаешь (я очень надеюсь), кем он становится.*

    Если когда-нибудь ты вырастешь из админа локалхоста до полноценного, то с удивлением обнаружишь, что в нагруженных системах в логах за час набегает больше текста, чем ты прочитал за всю свою жизнь.

     
     
  • 6.20, user (??), 00:19, 29/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько напыщенности. Я так понимаю Полноценные Ынтырпрайз(тм) админы всё же логи не перечитывают периодически (пусть даже бегло)? Или только когда всё сломалось? И, да логи нагруженных систем(тм), которые льются по нескольку гигабайт в сутки, анализируются полуавтоматом, хотя бы по ключевым фразам. И, да, OpenVPN с дефолтным логгированием не особо активно пишет логи, даже под нагрузкой ~50 пользователей на сервер.
     
     
  • 7.25, Аноним (-), 12:13, 29/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Напыщенности в его словах ноль, была констатация факта.

    > админы всё же логи не перечитывают периодически (пусть даже бегло)

    Некоторые конечно же перечитывают, одни зачитывают до дыр одн фрагмент одного лога, другие изредка перечитывают лог целиком, третьи упиваются груповым чтением с надрывом и болью в голосе, четвертые после каждого мегабайта беглого чтения лезут на форум писать всякую чушь.

    > Или только когда всё сломалось?

    Поздно читать логи когда почки отбили.

    > анализируются полуавтоматом, хотя бы по ключевым фразам

    Скорее напиши сюда список своих ключевым фраз для OpenVPN и Windows Event logs.
    И нас жизни научишь и начинающим не-интерпрайз админам подмога.

    > OpenVPN с дефолтным логгированием не особо активно пишет логи

    Т.е. ты отважно читаешь логи только после того как клиенты уже начали жаловаться и ты включил вербос. Славно работаешь.

    > Я так понимаю Полноценные Ынтырпрайз(тм)

    Пиши больше о своём понимании. Смешно получается!

     
  • 6.21, ИБ (?), 00:38, 29/09/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Малыш, а ты точно полноценный админ? Много там набегает текстов у опенвпна? grep -ie "depricated\|error\|warning" для слабаков? Если не читаешь примечания к релизу и логи впн-сервера - вон из профессии. Вот ваще без вариантов.
     
     
  • 7.23, пох (?), 09:45, 29/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Много там набегает текстов у опенвпна?

    если ты тоже не видел vpn-серверов не на 50 юзеров, то у меня для тебя плохие новости...

    > grep -ie "depricated\|error\|warning" для слабаков?

    когда заранее знаешь правильный ответ? (кстати, ты его не знаешь, с нашего сервера тебе этих еггогов высыплется мегабайтик, поскольку это в том числе отвалы дрянных 4g, а искомой строчки там не будет)

    Софтина прошла аудит. Софтина у тебя работает много лет, регулярно, кстати, пожарно апгрейдясь на предмет дыр. Софтина нигде не заявляет что эту фичу использовать нельзя вообще, они говорят "ну мы тут что-то улучшили, хрен его поймешь чего, мы не эксперты в криптографии, так, с пятого на десятое прочитали мурзилку про ipsec, реализовав из нее то, что показалось несложно", и ломается совместимость со старыми клиентами (которые могут быть очень далеко и вовсе не люди, поэтому быстренько сбегать заставить их поапгрейдиться у тебя не получится). Попрешься ли ты по этому поводу на точку где-нибудь в трехста километрах от чудного города Когалыма, в дерьме и на морозе ковыряться с апгрейдом ржавого железа, сливающего оттуда телеметрию?
    (впрочем, всезнайки, вычитавшие правильный ответ прямо на этой странице, конечно же, ответят "да")

     
  • 7.26, Аноним (-), 12:48, 29/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Малыш, а ты точно полноценный админ?

    Я, я точно неполноценный админ! Папа, сделай меня полноценным.

    > Много там набегает текстов у опенвпна?

    А ты стало быть не знаешь? Примерно килобайт на каждый успешный коннект или rekey.

    > grep -ie "depricated\|error\|warning" для слабаков?

    Для слабаков. Не слабак бы
      - как минимум добавил слово fail
      - обплевался бы от слова warning, потому что наелся уже насыто
      - отказался бы от grep, а использовал бы централизованный сбор логов и корреляционную тулзу
      - не выпендривался бы на форуме с откровениями админа локалхоста
      - написал бы своё реальное имя и дал бы ссылку на свою страничку/контакты

    > Если не читаешь примечания к релизу

    Вот тут поподробней. Как у тебя выглядит процедура чтения примечания к релизам? Пошагово.

    # dpkg -l  | wc -l
    301

    Вот прямо к 301 пакету на openvpn-сервере. Или ты к одним пакетам читаешь а к другим нет?

    > Если не читаешь логи впн-сервера - вон из профессии. Вот ваще без вариантов.

    А вот за это спасибо - смешно! Этой фразой можно стебать коллег.))

    > ИБ

    Да, я заметил, что ИБ. Опять школу прогуливаешь, "папаша"?

     
     
  • 8.35, пох (?), 12:28, 01/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    видимо, по неумению пользоваться grep и shell escapes, а так же невладению англи... текст свёрнут, показать
     
  • 2.6, dry (ok), 12:16, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем, а аудиторы это такие волшебники на сказочных конях и чудотворным сканером, который сразу показывает где что не так.
    Увы, но дело обстоит сильно иначе, мир гораздо сложнее.
     
     
  • 3.8, пох (?), 12:52, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем
    > а аудиторы это такие волшебники на сказочных конях

    а этот баг нашел - волшебник? Или обычный разработчик, обычным методом пристального вглядывания в подозрительные места в коде - ровно тем, чем, по идее, должны были заниматься эти аудиторы?

    > Увы, но дело обстоит сильно иначе, мир гораздо сложнее.

    аудит бесполезная трата времени и денег, надпись "наш проект прошел аудит" - бессмысленная рекламная наклейка, я вас правильно понял?

    В общем-то, если на такой надписи будет ссылка на тех же лягушатников, очевидно, именно так и следует думать.

    проектик-то, кстати, весьма небольшой, криптографию за него, традиционно, делает openssl (которая сама дырява насквозь), то есть задача была, мягко говоря, не особенно и сложной.

     
     
  • 4.9, Andrey Mitrofanov (?), 12:56, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем
    >> а аудиторы это такие волшебники на сказочных конях
    > а этот баг нашел - волшебник?

    Нет, поэтому ты сморозил наивнои юнно.

     
  • 4.13, Аноним (-), 14:42, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > проектик-то, кстати, весьма небольшой,

    Сразу видно человека который сорцы не смотрел, но мнение имеет. Назвать opvenvpn 2.4.x небольшим проектиком? Нет, это еще не винда, конечно, но по сравнению с другими vpn кода там дофига и сбоку бантик.

    И вообще, смешной ты тип. MS с своими 70 000 макак, или сколько их там, винду релизит и в ней потом critical быают. Один только rpc червяки гасят от NT до десятки. Странно что ты не критиканишь винду. Что, продажи портятся, критика дорогая? А тут продажи не страдают - можно и покритиканить?

     
     
  • 5.16, пох (?), 16:53, 28/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Назвать opvenvpn 2.4.x небольшим проектиком?

    а что, сравнимо с той же palemoon? (сорцы - смотрел, ага)

    > Нет, это еще не винда, конечно, но по сравнению с другими vpn кода там дофига и сбоку
    > бантик.

    стесняюсь спросить -а что вообще делает это дофига кода, если другие vpn без него обходятся (и иногда, при этом, совместимы с openvpn - см странную поделку университета цукубы)?

    шифрование при этом используется готовое, tun/tap драйвер тоже готовый. privelege separation нет, конфиг отвратителен (чего стоит одно название параметра, вызвавшее уязвимость). Живет в силу своей примитивности и относительной кроссплатформенности, других положительных свойств не имея.

    > И вообще, смешной ты тип. MS с своими 70 000 макак

    "а у вас негров линчуют", ага.

    причем бы тут - ms?

     
     
  • 6.29, Аноним (-), 01:56, 30/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > а что, сравнимо с той же palemoon? (сорцы - смотрел, ага)

    В palemoon кода больше. А в мозильском движке никогда не было недостатка в vuln-ах btw.

    > стесняюсь спросить -а что вообще делает это дофига кода, если другие vpn
    > без него обходятся

    Энтерпрайзные клиенты хотели чтобы оно парило, жарило и крестиком вышивало. Теперь список опций не умещается на мой экран, уступая разве что ffmpeg.

    > (и иногда, при этом, совместимы с openvpn -
    > см странную поделку университета цукубы)?

    Ты размер цуки видел? Еще более жирный vpn. А революцию по багам на kloc они врядли смогли. Там куча протоколов впн и оно тоже энтерпрайзное. У них обоих есть навороты для энтерпрайзного управления и всего такого, корпоративщики и коммерческие хостинги очень просили.

    > шифрование при этом используется готовое,

    Думаешь, програмеры среднего пошиба смогут лучше?

    > tun/tap драйвер тоже готовый.

    Актуально только для винды, у которой для этого почему-то не сложилось апи. У остальных tun/tap давно часть системы. Но это относительно немного кода.

    > кроссплатформенности, других положительных свойств не имея.

    Живет потому что все в одном, полно протоколов - ведроиды и яплы могут конектиться родным менеджером к серверу. Еще цуки любят абибас gfw. Это способствует признанию большой, технически продвинутой аудиторией молодых китайцев.

    > причем бы тут - ms?

    При том что принципы разработки софта и ресурсные соображения распостраняются на всех одинаково.

     
     
  • 7.31, пох (?), 13:44, 30/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну вот это уже тот размер, когда аудит за разумное время и деньги, скорее всего,... текст свёрнут, показать
     
     
  • 8.34, Аноним (-), 19:03, 30/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому гугл и мозила объявили награду и многие баги им стали заносить горяченьк... текст свёрнут, показать
     
  • 5.27, Аноним (-), 12:55, 29/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Назвать opvenvpn 2.4.x небольшим проектиком?

    Для тебя, надо понимать большой. Для него небольшой. Дальше?

    > И вообще, смешной ты тип. Странно что ты не критиканишь винду.

    Скорее ты смешной тип. Топик про OpenVPN, а ты _требуешь_ от других людей критиковать винду. Ты, вообще, в своём уме?

     
     
  • 6.30, Аноним (-), 01:59, 30/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Для тебя, надо понимать большой. Для него небольшой. Дальше?

    Дальше смотрим на другие vpn, сравниваем, делаем выводы. Читаем дядюшку DJB на тему того что такое уязвимости и откуда они берутся. Делаем выводы.

    > Скорее ты смешной тип. Топик про OpenVPN, а ты _требуешь_ от других
    > людей критиковать винду.

    Это где это я такое потребовал? Я всего лишь заметил что 70К офисных планктонин выпускают продукт с vuln-ами, несмотря на гигантское превосходство в человекогодах.

    > Ты, вообще, в своём уме?

    У меня такой же вопрос.

     
     
  • 7.36, Аноним (-), 03:28, 03/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну в том и проблема, что ты делаешь выводы после чтения дяди. Попробуй читать нескольких разных дядь для начала. Потом попробуй в чем-то разобраться сам. Это если ты хочешь про дядь. А каким образом тебя у тебя разговор про объем перетекает в дядь большой вопрос.

    "Странно что ты не критиканишь винду. Что, продажи портятся, критика дорогая? А тут продажи не страдают - можно и покритиканить?" Вот это кривляние разве не призыв критиковать винду? Может быть это призыв её хвалить?

    > Ты, вообще, в своём уме?
    > У меня такой же вопрос

    И как ты себе на него отвечаешь?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру