The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление OpenVPN 2.5.2 и 2.4.11 с устранением уязвимости

22.04.2021 15:37

Подготовлены корректирующие выпуски OpenVPN 2.5.2 и 2.4.11, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Код OpenVPN распространяется под лицензией GPLv2, готовые бинарные пакеты формируются для Debian, Ubuntu, CentOS, RHEL и Windows.

В новых выпусках устранена уязвимость (CVE-2020-15078), позволяющая удалённому атакующему обойти аутентификацию и ограничения доступа для организации утечки данных о настройках VPN. Проблема проявляется только на серверах, на которых настроено использование отложенной аутентификации (deferred_auth). Атакующий при определённом стечении обстоятельств может вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED. В сочетании с использованием параметра "--auth-gen-token" или применением пользователем собственной схему аутентификации на основе токенов, уязвимость может привести к получению доступа к VPN, используя нерабочую учётную запись.

Из не связанных с безопасностью изменений отмечается расширение вывода информации о TLS-шифрах, согласованных для использования клиентом и сервером. В том числе добавлены корректные сведения о поддержке TLS 1.3 и EC-сертификатов. Кроме того, отсутствие CRL-файла со списком отозванных сертификатов во время запуска OpenVPN теперь трактуется как ошибка, приводящая к завершению работы.

  1. Главная ссылка к новости (https://github.com/OpenVPN/ope...)
  2. OpenNews: Корректирующий релиз OpenVPN 2.5.1
  3. OpenNews: Доступен OpenVPN 2.5.0
  4. OpenNews: В ядро платформы Android перенесена поддержка VPN WireGuard
  5. OpenNews: Официально запущен сервис Mozilla VPN
  6. OpenNews: Выпуск SoftEther VPN Developer Edition 5.01.9671
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55003-openvpn
Ключевые слова: openvpn, vpn
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ip1982 (ok), 15:52, 22/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Массачусетс?
     
     
  • 2.2, Аноним (2), 16:28, 22/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, кто на этот раз? Оксфорд? Корнелл? Хогвардс?
     
     
  • 3.3, Far (ok), 16:45, 22/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Братство ткачей
     
     
  • 4.4, Dzen Python (ok), 19:02, 22/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Братство Жирорептилоидоидов из Университетской Команды По Настольному Зохвату Мира Лиги Плюща
     
  • 4.7, Аноним (7), 22:16, 22/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не гильдия белошвеек - и на том спасибо.
     
     
  • 5.13, Аноним (-), 16:17, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если он про тех ткачей, которые были бы тут уместны, те не отличались пацифизмом, мягко говоря.
     
  • 2.5, Аноним (5), 20:25, 22/04/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Пензенский кондитерский средний техникум
     
     
  • 3.14, Аноним (-), 16:18, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А там учат openvpn кодить?
     
     
  • 4.17, Шоколадный заяц (?), 17:10, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Из молочной патоки.
     

  • 1.6, Аноним (6), 21:20, 22/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Есть спецы по безопасности? Можете замолвить про Ethersoft?
     
     
  • 2.8, онанимус (?), 00:35, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    softether?
    на мой взгляд - черезчур переусложнённый софт, проще поднять по отдельности несколько разных видов тоннелей.
     
  • 2.9, Anonn (?), 08:51, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не знаю как там с безопасностью, но это единственное что полноценно работает в арабских странах типа Ирана и Египта
     
     
  • 3.16, Аноним (16), 16:25, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это неправда, мягко говоря. Китайские сетевые тулсы, допустим, пробивают все что угодно - просто потому что GFW самый технологичный из всего этого, египет и иран на фоне GFW - дилетанты.
     
     
  • 4.18, товарищ майор (?), 17:10, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    это что за тулзы?  имена в студию
     
     
  • 5.21, Сейд (ok), 12:00, 24/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Иггдрасиль.
     
  • 4.22, онанимус (?), 01:47, 25/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это неправда, мягко говоря. Китайские сетевые тулсы, допустим, пробивают все что угодно
    > - просто потому что GFW самый технологичный из всего этого, египет
    > и иран на фоне GFW - дилетанты.

    до ковида был в китае - гугол с ютубом действительно не работают. но обычный опенвпн до моего сервера прекрасно работал и решал все проблемы с доступами.
    не так страшен ГФВ, как его малюют - я подозреваю, что там тупо блокировка самых популярных впн сервисов из эппл стор и плей маркета, а не хитроумные всемогучие ДПИ.

     
  • 2.11, Анонимен (?), 11:44, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Меня не известно об публичньй аудит безопасноти softether.
     
  • 2.15, Аноним (-), 16:24, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Огроменное месиво с кучей кода. Халявные сервера из юзерей полузонд т.к. "для борьбы с абузом" логируют как минимум все соединения которые вы делаете через них.
     
     
  • 3.20, Аноним (20), 17:20, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это да. А если просто использовать L2TP over IPSec... Хотя про IPSec пишут, что скомпроментирован давно.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру