The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.09.2017 08:27  Обновление OpenVPN 2.4.4 с устранением уязвимости

Сформированы корректирующие выпуски пакета для создания виртуальных частных сетей OpenVPN 2.3.18 и 2.4.4, в которых устранена уязвимость (CVE-2017-12166), которая может привести к удалённому переполнению буфера и выполнению кода злоумышленника. Для большинства пользователей проблема не представляет опасности, так как проявляется только при явном включении в настройках режима "key method 1", который давно помечен как устаревший (использовался в OpenVPN 1.x, отключен по умолчанию начиная с 2005 года и запланирован к удалению в ветке OpenVPN 2.5).

Кроме того, в новой версии представлена большая порция разноплановых мелких исправлений и устранена специфичная для Windows уязвимость в установщике NSIS, позволяющая поднять свои привилегии в системе.

  1. Главная ссылка к новости (https://guidovranken.wordpress...)
  2. OpenNews: Уязвимость в OpenVPN, которая может привести к выполнению кода на сервере
  3. OpenNews: Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита безопасности
  4. OpenNews: Завершён аудит проекта OpenVPN
  5. OpenNews: Доступен релиз OpenVPN 2.4.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openvpn
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, пох (?), 09:56, 28/09/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    "мы аудитили-аудитили, да так и не выаудитили".

    Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt.

    так что имейте в виду.

     
     
  • 2.2, Аноним (-), 10:00, 28/09/2017 [^] [ответить]    [к модератору]
  • +1 +/
    А как же PVS-Studio???
     
     
  • 3.3, пох (?), 10:25, 28/09/2017 [^] [ответить]     [к модератору]
  • –3 +/
    а чего, им кто-то _заплатил_ за аудит Тем-то ребятам - заплатили А оно - вот... весь текст скрыт [показать]
     
     
  • 4.14, Аноним (-), 14:50, 28/09/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    А у них так вроде нельзя, там до сих пор 90е, мыслят как сельпо - продукты прода... весь текст скрыт [показать]
     
     
  • 5.17, пох (?), 17:13, 28/09/2017 [^] [ответить]     [к модератору]  
  • +/
    я так понимаю, вполне можно, но, разумеется, дороговато выйдет Это несколько др... весь текст скрыт [показать]
     
     
  • 6.22, Аноним (-), 00:51, 29/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Раньше они считали что главное программу впарить, а потом хоть потоп Они переду... весь текст скрыт [показать]
     
     
  • 7.24, Аноним (-), 11:42, 29/09/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > его --help не умещается на монитор. Это показатель.

    man --help тоже не умещается на монитор. Это тоже показатель.

    Писши исчо, аналитег!

     
  • 7.28, пох (?), 13:06, 29/09/2017 [^] [ответить]    [к модератору]  
  • +/
    > Ты вообще сорец openvpn видел? Впн может быть в 50 раз проще.
    > Но openvpn покусал энтерпрайз. Он даже после 10 аудитов будет с

    их недопрочитанная книжка по ipsec'у покусала - они хотели сделать "все так же, но попроще" (все кто делали по книжке, напарывались на миллиарды проблем с совместимостью). отсюда миллиард настроек и стопиццот вариантов авторизации, "как у больших".

    при этом код у них, полагаю, не настолько плох, как можно подумать - серьезных проблем именно в коде, а не очередном heartbleed, за всю историю было крайне мало.
    А вот чем занимались лягушатники-аудиторы и стоит ли им доверять в других случаях - вопрос, по-моему, уже не открыт, а закрыт.


     
  • 6.32, Andrey_Karpov (ok), 17:10, 30/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Тот-кого-нельзя-называть, просто хочет оставить маленький комментарий

    > ты будешь смеяться, но долбаться он будет прежде всего со своим кодом, переделывая его так, чтобы свести количество срабатываний к нулю. Тяжелая и нудная работа (хотя и весьма полезная). Без нее просто бестолку связываться с pvs, и с конкурентами тоже. Можно разово прогнать (это-то бесплатно), наковырять пару ошибок, и гордиться собой, но это совершенно не означает что еще пара сотен не осталась в коде, или не будет внесена прямо сейчас. Оно тебе об этом даже сообщает, но в куче срабатываний, вызванных просто неаккуратным кодом, ты этого не заметишь.

    Есть ещё один вариант. Отложить существующие баги на потом, и анализировать для начала только новый код. Это не подходит, если речь идёт о поисках потенциальных уязвимостей. В этом случае неважно, старый баг или новый. Но с точки зрения легкого начала использования - очень хороший вариант. Старые ошибки, как правило не так существенны, как новые (работает ведь как-то, я серьезное уже исправлено). Подробнее: https://www.viva64.com/ru/m/0032/

     
  • 3.11, Аноним (-), 13:42, 28/09/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Тсс, Карпова призовёшь!
     
     
  • 4.33, Andrey_Karpov (ok), 17:12, 30/09/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Тсс, Карпова призовёшь!

    Слушаю и повинуюсь, – скрипнул зубами несправедливо оскорбленный джинн. (c)

     
  • 2.5, Волосатый шмель (?), 12:04, 28/09/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > Для большинства пользователей проблема не представляет опасности, так как проявляется только при явном включении в настройках режима "key method 1", который давно помечен как устаревший

    Видимо, из-за этого аудиторам было [ник комментатора выше] на такую уязвимость.

     
     
  • 3.10, пох (?), 13:03, 28/09/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Видимо, из-за этого аудиторам было [ник комментатора выше] на такую уязвимость.

    скорее, они просто очень хотели побыстрее смузи и новый ипхон на вырученные деньги.

    Представь (я понимаю, сложно) себя на месте админа - который лет пять назад включает этот режим для совместимости с необновляющимися юзерами, давно про него забыл (все ж работает, никаких указаний что "устаревшее" еще и опасно, а не просто отключает ненужный улучшизм в протоколе, нет), или вовсе уволился, сервис при этом старательно обновляют, считают надежным, вон, аудит же ж прошел!

    разработчики, в принципе, тоже так думают, и не идут путем openssh, у которого то dsa auth отвалится без объявления войны, то ssh1 из клиента (клиента, блин!) выпилят то еще что улучшат (а roaming, в котором уже была дыра, нежно берегут), еще через пару лет подумывают может выпилить.

     
     
  • 4.18, name (??), 20:38, 28/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Не, так то openvpn пишет в доги про deprecated ключи. А вот если админ периодически не смотрит в логи, то ты сам понимаешь (я очень надеюсь), кем он становится.*
     
     
  • 5.19, angra (ok), 00:04, 29/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > А вот если админ периодически не смотрит в логи, то ты сам понимаешь (я очень надеюсь), кем он становится.*

    Если когда-нибудь ты вырастешь из админа локалхоста до полноценного, то с удивлением обнаружишь, что в нагруженных системах в логах за час набегает больше текста, чем ты прочитал за всю свою жизнь.

     
     
  • 6.20, user (??), 00:19, 29/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Сколько напыщенности. Я так понимаю Полноценные Ынтырпрайз(тм) админы всё же логи не перечитывают периодически (пусть даже бегло)? Или только когда всё сломалось? И, да логи нагруженных систем(тм), которые льются по нескольку гигабайт в сутки, анализируются полуавтоматом, хотя бы по ключевым фразам. И, да, OpenVPN с дефолтным логгированием не особо активно пишет логи, даже под нагрузкой ~50 пользователей на сервер.
     
     
  • 7.25, Аноним (-), 12:13, 29/09/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Напыщенности в его словах ноль, была констатация факта Некоторые конечно же пер... весь текст скрыт [показать]
     
  • 6.21, ИБ (?), 00:38, 29/09/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    Малыш, а ты точно полноценный админ Много там набегает текстов у опенвпна grep... весь текст скрыт [показать]
     
     
  • 7.23, пох (?), 09:45, 29/09/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Много там набегает текстов у опенвпна?

    если ты тоже не видел vpn-серверов не на 50 юзеров, то у меня для тебя плохие новости...

    > grep -ie "depricated\|error\|warning" для слабаков?

    когда заранее знаешь правильный ответ? (кстати, ты его не знаешь, с нашего сервера тебе этих еггогов высыплется мегабайтик, поскольку это в том числе отвалы дрянных 4g, а искомой строчки там не будет)

    Софтина прошла аудит. Софтина у тебя работает много лет, регулярно, кстати, пожарно апгрейдясь на предмет дыр. Софтина нигде не заявляет что эту фичу использовать нельзя вообще, они говорят "ну мы тут что-то улучшили, хрен его поймешь чего, мы не эксперты в криптографии, так, с пятого на десятое прочитали мурзилку про ipsec, реализовав из нее то, что показалось несложно", и ломается совместимость со старыми клиентами (которые могут быть очень далеко и вовсе не люди, поэтому быстренько сбегать заставить их поапгрейдиться у тебя не получится). Попрешься ли ты по этому поводу на точку где-нибудь в трехста километрах от чудного города Когалыма, в дерьме и на морозе ковыряться с апгрейдом ржавого железа, сливающего оттуда телеметрию?
    (впрочем, всезнайки, вычитавшие правильный ответ прямо на этой странице, конечно же, ответят "да")

     
  • 7.26, Аноним (-), 12:48, 29/09/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Я, я точно неполноценный админ Папа, сделай меня полноценным А ты стало быть н... весь текст скрыт [показать]
     
     
  • 8.35, пох (?), 12:28, 01/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Да, я заметил, что ИБ.

    видимо, по неумению пользоваться grep и shell escapes, а так же невладению английским на школьном уровне? ;-)

     
  • 2.6, dry (ok), 12:16, 28/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем, а аудиторы это такие волшебники на сказочных конях и чудотворным сканером, который сразу показывает где что не так.
    Увы, но дело обстоит сильно иначе, мир гораздо сложнее.
     
     
  • 3.8, пох (?), 12:52, 28/09/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем
    > а аудиторы это такие волшебники на сказочных конях

    а этот баг нашел - волшебник? Или обычный разработчик, обычным методом пристального вглядывания в подозрительные места в коде - ровно тем, чем, по идее, должны были заниматься эти аудиторы?

    > Увы, но дело обстоит сильно иначе, мир гораздо сложнее.

    аудит бесполезная трата времени и денег, надпись "наш проект прошел аудит" - бессмысленная рекламная наклейка, я вас правильно понял?

    В общем-то, если на такой надписи будет ссылка на тех же лягушатников, очевидно, именно так и следует думать.

    проектик-то, кстати, весьма небольшой, криптографию за него, традиционно, делает openssl (которая сама дырява насквозь), то есть задача была, мягко говоря, не особенно и сложной.

     
     
  • 4.9, Andrey Mitrofanov (?), 12:56, 28/09/2017 [^] [ответить]    [к модератору]  
  • +/
    >> Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем
    >> а аудиторы это такие волшебники на сказочных конях
    > а этот баг нашел - волшебник?

    Нет, поэтому ты сморозил наивнои юнно.

     
  • 4.13, Аноним (-), 14:42, 28/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Сразу видно человека который сорцы не смотрел, но мнение имеет Назвать opvenvpn... весь текст скрыт [показать]
     
     
  • 5.16, пох (?), 16:53, 28/09/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > Назвать opvenvpn 2.4.x небольшим проектиком?

    а что, сравнимо с той же palemoon? (сорцы - смотрел, ага)

    > Нет, это еще не винда, конечно, но по сравнению с другими vpn кода там дофига и сбоку
    > бантик.

    стесняюсь спросить -а что вообще делает это дофига кода, если другие vpn без него обходятся (и иногда, при этом, совместимы с openvpn - см странную поделку университета цукубы)?

    шифрование при этом используется готовое, tun/tap драйвер тоже готовый. privelege separation нет, конфиг отвратителен (чего стоит одно название параметра, вызвавшее уязвимость). Живет в силу своей примитивности и относительной кроссплатформенности, других положительных свойств не имея.

    > И вообще, смешной ты тип. MS с своими 70 000 макак

    "а у вас негров линчуют", ага.

    причем бы тут - ms?

     
     
  • 6.29, Аноним (-), 01:56, 30/09/2017 [^] [ответить]     [к модератору]  
  • +/
    В palemoon кода больше А в мозильском движке никогда не было недостатка в vuln-... весь текст скрыт [показать]
     
     
  • 7.31, пох (?), 13:44, 30/09/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    ну вот это уже тот размер, когда аудит за разумное время и деньги, скорее всего,... весь текст скрыт [показать]
     
     
  • 8.34, Аноним (-), 19:03, 30/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Поэтому гугл и мозила объявили награду и многие баги им стали заносить горяченьк... весь текст скрыт [показать]
     
  • 5.27, Аноним (-), 12:55, 29/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Для тебя, надо понимать большой Для него небольшой Дальше Скорее ты смешной т... весь текст скрыт [показать]
     
     
  • 6.30, Аноним (-), 01:59, 30/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Дальше смотрим на другие vpn, сравниваем, делаем выводы Читаем дядюшку DJB на т... весь текст скрыт [показать]
     
     
  • 7.36, Аноним (-), 03:28, 03/10/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну в том и проблема, что ты делаешь выводы после чтения дяди Попробуй читать не... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor