Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+/–
Сообщение от opennews (ok) on 12-Май-17, 10:06
Сформирован (https://openvpn.net/index.php/open-source/downloads.html) корректирующий выпуск пакета OpenVPN 2.4.2, в состав которого вошли исправления, устраняющие проблемы, выявленные в результате независимого аудита механизмов шифрования. Одновременно опубликован (https://ostif.org/the-openvpn-2-4-0-audit-by-ostif-and-quark.../) отчёт с раскрытием деталей (https://ostif.org/wp-content/uploads/2017/05/OpenVPN1.2final...) аудита. Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась (https://www.opennet.dev/opennews/art.shtml?num=45333) для аудита проекта  VeraCrypt. На основании выработанных в ходе проверки рекомендаций в OpenVPN 2.4.2 внесено семь исправлений:  устранена одна опасная проблема, одна уязвимость средней степени опасности и пять несущественных недоработок. В частности, исправлены следующие уязвимости: -  CVE-2017-7478 (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-7478)  - аутентифицированый пользователь может инициировать отказ в обслуживании VPN-сервера через отправку слишком большой порции данных в пакете P_CONTROL. Из-за простоты проведения атаки проблеме присвоен высокий уровень опасности. Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме не подвержены; -  CVE-2017-7479 (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-7479) - аутентифицированый пользователь может вызвать крах OpenVPN через переполнение счётчика пакетов Packet-ID. Для совершения атаки нужно отправить несколько сотен гигабайт данных. URL: https://ostif.org/the-openvpn-2-4-0-audit-by-ostif-and-quark.../ Новость: http://www.opennet.dev/opennews/art.shtml?num=46538
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+1 +/–
Сообщение от X3asd (ok) on 12-Май-17, 10:06
> переполнение счётчика пакетов Packet-ID. Для совершения атаки нужно отправить несколько сотен гигабайт данных не так уж и много.. жесть что разработчики сами не догадались что кто-то может *действительно* использовать openvpn-соединение -- для дел (передавать через соединение сотни гогобайт полезных данных), а не подключиться на 3 минуты ради пары лулзов (пару сообщений на форумы)..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+13 +/–
	Сообщение от F on 12-Май-17, 10:21
	Вы, уважаемый, не говорите за разрабов, тем более такие фантазии. OpenVPN в проде стоит годами, и опыт накоплен - а "может вызвать" и "всегда вызывает" все же разные вещи.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	8. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+/–
	Сообщение от Anonplus on 12-Май-17, 14:05
	Возможно, там надо передать очень много сотен гигабайт за сессию. Учитывая, что OpenVPN чудовищно режет скорость: "Предположим, вы подключаетесь к серверу в США из России через OpenVPN со стандартными значениями буферов сокета. У вас широкий канал, скажем, 50 МБит/с, но в силу расстояния, пинг составляет 100 мс. Как вы думаете, какой максимальной скорости вы сможете добиться? 5.12 Мбит/с." пруф: https://habrahabr.ru/post/246953/) это может быть сложной задачей (сессия окончена/порвалась - баг не случился).
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	9. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	–1 +/–
	Сообщение от Anonplus on 12-Май-17, 14:09
	Для тех, кому лень читать по ссылке: изменение размера буферов по умолчанию позволило поднять скорость по UDP с 30 до 80 мегабит. В 2,5 раза, Карл на ровном месте.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+1 +/–
	Сообщение от X3asd (ok) on 12-Май-17, 16:18
	> Для тех, кому лень читать по ссылке: изменение размера буферов по умолчанию > позволило поднять скорость по UDP с 30 до 80 мегабит. В > 2,5 раза, Карл на ровном месте. это всем-известная проблема -- и конено же в старых версиях openvpn в конфигах люди меняли размеры этих буфферов
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	19. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+/–
	Сообщение от user455 on 15-Май-17, 18:59
	> Учитывая, что OpenVPN чудовищно режет скорость: на tcp соединении  с некорректными mss
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+/–
	Сообщение от Аноним (??) on 12-Май-17, 15:02
	Несколько сотен гигабайт данных — это, как я понимаю, имеются в виду пакеты без полезной нагрузки. А при отправке полезных данных будут уже, наверное, десятки терабайт.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	18. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	–2 +/–
	Сообщение от Харли (ok) on 15-Май-17, 06:32
	Аналитик или ТП делает в УЯх select * from ... и получает те самые гиги как из пушки, со всеми вытекающими.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+1 +/–
Сообщение от sage (??) on 12-Май-17, 10:50
>Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме не подвержены Нет, они тоже подвержены проблеме, но злоумышленнику нужно иметь tls-auth или tls-crypt-ключ. Например, если это публичный VPN, то такие ключи у злоумышленника будут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+/–
	Сообщение от X3asd (ok) on 12-Май-17, 16:16
	>> Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме > не подвержены > > Нет, они тоже подвержены проблеме, но злоумышленнику нужно иметь tls-auth или > tls-crypt-ключ. Например, если это публичный VPN, то такие ключи у злоумышленника будут. в новости сказано что уязвимость доступна для *аутентифицированного* пользователя... как считаешь если пользователь уже прошёл аутентифицикацию -- может ли быть такого что у него не оказалось каких-то-там tls-auth-ключей? если tls-auth-ключа нет -- то даже до аутентификации дело дойти не может
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	–1 +/–
Сообщение от mumu (ok) on 12-Май-17, 15:30
OpenConnect пока не проверяли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	–3 +/–
	Сообщение от Аноним (??) on 13-Май-17, 16:23
	кому нужно местечковое подельице в ещё непроверенных пучинах опенсорца?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+1 +/–
	Сообщение от Аноним (??) on 13-Май-17, 18:08
	Ну да, троян - предпочтительнее.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+/–
	Сообщение от Аноним (??) on 13-Май-17, 19:13
	Ну куда ты зарываешься-то? Опенконнект это клиент для никому ненужного эниконнекта и жуноса пульза, и тут ты его прям равняешь с опенвпном, который нынче чуть ли не центр индустрии самодельного впна. Ненадо так.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."	+/–
	Сообщение от t28 on 14-Май-17, 16:21
	> OpenConnect пока не проверяли? Было бы неплохо.  %)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема