The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В SoftEther VPN найдено 11 уязвимостей

15.01.2018 23:12

Гвидо Вренкен (Guido Vranken), в своё время выявивший несколько опасных уязвимостей в различых реализациях SSL/TLS и в OpenVPN, опубликовал результаты аудита мультипротокольного открытого VPN-сервера SoftEther. В ходе 80-часового исследования кода и fuzzing-тестирования в проекте было выявлено 11 уязвимостей. Разработчики SoftEther VPN оперативно выпустили обновление 4.25 Build 9656, в котором устранили обнаруженные проблемы.

Семь уязвимостей были вызваны отсутствием должных проверок и могут привести к переполнению буфера. По предварительной оценке данные уязвимости проблематично использовать для создания эксплоитов для выполнения кода атакующего, но можно применять для инициирования краха серверного процесса. 4 уязвимости вызваны утечками памяти и могут привести к исчерпанию доступной процессу памяти.

  1. Главная ссылка к новости (https://guidovranken.wordpress...)
  2. OpenNews: VPN-сервер SoftEther VPN открыт под лицензией GPLv2
  3. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  4. OpenNews: Завершён аудит проекта OpenVPN
  5. OpenNews: Уязвимость в OpenVPN, которая может привести к выполнению кода на сервере
  6. OpenNews: Обновление OpenVPN 2.4.4 с устранением уязвимости
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47910-softether
Ключевые слова: softether, vpn
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 23:27, 15/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    1 человек за 80 часов нашел 11 уязвимостей, мдаа... Что можно сделать за месяц с группой толковых ребят. И так во всем софте?
     
     
  • 2.4, trolleybus (?), 23:34, 15/01/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    В проприетарщине точно не так (там либо не найдут, либо не исправят).
     
  • 2.7, анон (?), 23:41, 15/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    вполне возможно, что он нашел 90% того что есть
     
     
  • 3.49, Аноним (-), 13:52, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вряд ли больше 10%.
     
  • 3.67, Аноним (-), 00:10, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это врядли. SoftEther огроменный. И врядля там програмеры сильно лучше чем в остальных проектах. Значит багов в нем немеряно и часть из них окажется vuln-ами. И всего десяток - не так уж много для штуки где бинарь больше мегабайта весит.
     
  • 2.12, irinat (ok), 00:07, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Их ещё надо найти, этих толковых ребят. И как-то замотивировать работать над проектом.

    > Три самых лучших в отладке программиста смогли найти дефекты примерно в 3 раза быстрее и внесли в код примерно в 2,5 раза меньше дефектов, чем три худших. Самый лучший программист обнаружил все дефекты и не внес во время их исправления новых. Самый худший не нашел 4 из 12 дефектов, а при исправлении 8 обнаруженных дефектов внес в код 11 новых.

     
     
  • 3.47, Fantomas (??), 13:13, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А также можно демотивироваться, для этого есть демотиваторы.
     
  • 3.65, Аноним2 (?), 21:18, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Убийца - садовник
     
  • 2.16, 1 человек за 80 часов (?), 01:48, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > У Коли на компе антивирус Васи Пупкина за час нашел 10 вирей. Я не представляю что можно там найти за неделю, установив несколько антивирусов.

    т.е. насчет толковых ребят правда, а насчет принципа работы - нет

     
  • 2.17, pavard (ok), 01:59, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    написано же - фузи-тестрирование. для его автоматизации существует куча софта. ничего необычного.
     
  • 2.36, пох (?), 09:28, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > 1 человек за 80 часов нашел 11 уязвимостей

    из которых ни одна не exploitable. Хороший, оказывается, код у softether, очень неожиданно для такой сложности.

    > Что можно сделать за месяц с группой толковых ребят.

    написать план развития, назначить менеджеров направлений, нанять разработчиков и забабахать вебсайт группы поиска уязвимостей в единственной программе. Начать собирать donate. Верной дорогой идете, тов... мистер.

    а здесь один очень непростой человек (может и умеет) за неделю старательного впахивания нашел только десяток DoS'ов, да и те, вероятнее всего, требуют быть авторизованным пользователем.

    > И так во всем софте?

    если бы :-(

     
     
  • 3.64, Аноним (-), 20:33, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > из которых ни одна не exploitable

    Где ты такое прочитал?
    >> A security audit of the widely used SoftEther VPN open source VPN
    >> client and server software [1] has uncovered 11 *remote* security
    >> vulnerabilities.

     
  • 2.39, pda (?), 10:08, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > 1 человек за 80 часов нашел 11 уязвимостей, мдаа... Что можно сделать за месяц с группой толковых ребят.

    Одна женщина за 9 месяцев вынашивает ребёнка. Представляете, что можно сделать с толпой баб?

     
     
  • 3.42, пох (?), 12:23, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Одна женщина за 9 месяцев вынашивает ребёнка. Представляете, что можно сделать с толпой баб?

    ну, если не ставить условие "за один месяц", можно наплодить гораздо больше пушечного мяса или материала для биореактора.

    Тут беда в том, что умеющих и желающих копаться в чужом мутном и реально немаленьком коде - и одного-то найти тяжко.

     
  • 2.59, Dizit (?), 15:57, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В Роспомпозоре сидят сотни "толковых" ребят - никак не могут заблокировать Рутрекер. :)
     
  • 2.73, rewwa (ok), 23:30, 29/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > 1 человек за 80 часов нашел 11 уязвимостей, мдаа... Что можно сделать
    > за месяц с группой толковых ребят. И так во всем софте?

    Во всем, поскольку никакой софт не может быть идеальным

     

  • 1.3, Аноним (-), 23:32, 15/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В принципе неплохо, ничего сверхсерьезного.
     
  • 1.5, Вадим (??), 23:39, 15/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    А что лучше?

    OpenVPN vs WireGuard vs SoftEtherVPN

     
     
  • 2.6, Аноним (-), 23:40, 15/01/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    У SoftEtherVPN есть SSL
     
     
  • 3.8, Аноним (-), 23:42, 15/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а у остальных?
     
     
  • 4.62, Аноним (-), 18:25, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У openvpn нет маскировки через SSL.
    Для этого используется stunnel.
    У WireGuard не знаю.
     
  • 3.20, Аноним (-), 02:45, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    vs SSTP?
     
  • 3.56, Аноним (-), 15:54, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А у остальных он не знает. Я копал определенные части кода openvpn и в некоторых его местах уверен на 100%. Спокойно юзай OpenVPN, но следи за сообщениями об уязвимостях в openvpn и связанных с ним библиотек. Но не облажайся с DNS.
     
     
  • 4.63, Аноним (-), 18:27, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что там с DNS?
    Запросы можно завернуть или в dnscrypt или в tor.
     
  • 2.10, Аноним (-), 23:45, 15/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы добавил ещё GoVPN, он умеет лить случайные данные, чтобы замаскировать изменения количества передаваемых данных.

    Если важна скорость, то WireGuard.

     
  • 2.11, Впнщик (?), 23:54, 15/01/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    1.WireGuard 2.SoftEtherVPN 666.OpenVPN
     
     
  • 3.13, Аноним (-), 00:36, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Где бы пруфца почитать, статеек там всяких?
     
  • 3.24, лютый жабист__ (?), 05:50, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >1.WireGuard 2.SoftEtherVPN 666.OpenVPN

    0. ssh tunnel

     
     
  • 4.57, Dizit (?), 15:55, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    SSH это вообще сила. Любой айтишник должен знать SSH вдоль и поперек, тем более в такие темные времена как наше...
     
  • 2.30, ACCA (ok), 08:14, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А что лучше?
    > OpenVPN vs WireGuard vs SoftEtherVPN

    Смотря для чего - я предпочитаю tinc. Если хочется mesh, то выбор небольшой.

     
  • 2.33, Аноним (-), 08:55, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда уж нормальную (или хоть какую) веб морду к SoftEtherVPN запилят? Доколе?!! Ведь опенсорс проэкт же! А управлялка им нормальная только под винду!!!
     
     
  • 3.43, Аноним (-), 12:25, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Когда уж нормальную (или хоть какую) веб морду к SoftEtherVPN запилят? Доколе?!!
    > Ведь опенсорс проэкт же! А управлялка им нормальная только под винду!!!

    К чему именно? Там ведь клиент, сервер, а еще к клиенты плагин. В Винде реализован VPN-SSL, а в линукс? Прикручивать stunnel?

     
  • 2.46, Аноним (-), 13:01, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сравнение - https://xakep.ru/2016/10/07/vpn-review/
     
  • 2.71, Tonchik (?), 14:47, 22/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    SoftEtherVPN:
    достаточно сильная интеграция с AD для Enterprise и GUI клиент, и из коробки поддержка стандартных(!!!) VPN клиентов мобильных устройств.
    Очень адекватный собственный клиент.
     

  • 1.14, Linken (?), 00:43, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Кто объяснит - почему в OpenVPN нет такой фундаментальной и наиважнейшей вещи как KillSwitch? Почему он не встроен в консольный клиент? Почему в сети десятки костылей на тему как замутить KillSwitch под Linux самому (ведь 99% всех VPN-провайдеров один хер свои десктопные клиенты и KillSwitch делают только под Win/Mac, а линуксоид должен колбаситься, хотя деньги платит те же самые)? Нормальное встроенное решение, а не костыли хотелось бы. Допустим я не сисадмин, и я не могу быть на 100% уверен, что то или иное решение даст мне мгновенный обрыв основного канала при потере VPN-соединения, что ни байта не проскочит через основной канал, что никаких сливов не будет - ну как простой пользователь может быть в этом уверен? Почему так сложно встроить KillSwitch в OpenVPN-клиент?

    Как с этим у WireGuard / SoftEtherVPN?

     
     
  • 2.15, LinkedIn (?), 01:19, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Если ты параноик, тебе VPN не нужен. На VPN сервере весь твой трафик до последнего байта видно. Для твоих задач подходит Tor.
     
     
  • 3.22, Аноним (-), 05:42, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот не надо менять тему, пожалуйста, и замыливать проблему. Вопрос о другом был.
     
     
  • 4.60, Аноним (-), 15:59, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вопрос плохой, т.к. вы ждете решение в виде кривого костыля. Все решается штатными средствами надежно и без сраных киллсвитчей. Надо просто подумать.
     
  • 2.23, Аноним (-), 05:49, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > почему в OpenVPN нет такой фундаментальной и наиважнейшей вещи как KillSwitch?

    Не буду гадать почему нет. Жалко, что нет. На базе linux решение видится мне на основе фаервола. Т.е. по дефолту стоят правила, запрещающие всё. Разрешаются соединения только с vpn-сервером. А затем, выполняется требуемая настройка правил для поднятого vpn-интерфейса.

    Для неискушенного пользователя, я бы предложил использовать для этого GUI средства firewall-config и NM, но на текущий момент я не уверен, особенно за NM, не будет ли он допускать утечек данных во время переключения интерфейсов и всевозможныз переподключений. Полагаю, это полностью ограничивается фаерволом, и кривизна NM перестаёт влиять.

     
     
  • 3.25, a (??), 06:13, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да уж, а не проще замутить через метрики маршрутов, даже под виндой работать будет.
     
     
  • 4.27, хрюзер (?), 07:54, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >  Да уж, а не проще замутить через метрики маршрутов, даже под виндой работать будет.

    можете привести пример?

     
     
  • 5.32, a (??), 08:30, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > можете привести пример?

    Вешаем метрику 50 для автоматически получаемого шлюза.
    Добавляем статический маршрут до впн-сервера с метрикой 10.
    Добавляем несуществующий дефолтный шлюз с метрикой 30.
    Вешаем метрику 20 на шлюз через впн.

    ========

    Пока впн с меньшей метрикой жив все идет в него, кроме самого впн-соединения - там отдельный маршрут, как только падает все ломится на несуществующий, на дефолтный назначаемый не пойдет никогда пока жив статический с меньшей метрикой.

    ========

    Можно запретить назначать шлюз поумолчанию и все маршруты руками прописать, тогда и с метриками возится не придется, хотя как в винде это сделать я не в курсе.

     
     
  • 6.38, хрюзер (?), 09:49, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо
     
  • 3.40, Аноним (-), 12:10, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе правильно, но вот есть вопрос при большом количестве VPN, как например vpngate. Придется прописывать каждый раз правило. GUI firewal - есть же ufw, ну или там arno. А какую течь может дать NM? Настройки можно проверить руками..
     
     
  • 4.58, none_first_ (?), 15:56, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    может через cgroups? https://habrahabr.ru/post/274445/
     
  • 2.26, EHLO (?), 06:35, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Кто объяснит - почему в OpenVPN нет такой фундаментальной и наиважнейшей вещи
    > как KillSwitch?

    Это бессмысленно, если использовать OpenVPN по назначению, то есть как VPN, а не туннель в Интернет.
    Полагаю, проблемы анонимизирующихся леммингов разработчиков не волнуют. И я их (разработчиков) в этом поддерживаю.

     
     
  • 3.28, хрюзер (?), 07:59, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Фактически, да. Доступ контроллируется фаерфолом. Это как якобы "проблемы" с NAT и IPv6 и защитой сети, когда привыкли, что NAT служит защитой, но это всего лишь побочный эффект.

    OpenVPN занимается поднятием интерфейса и установкой туннеля. Ограничением трафика должен заниматься FW, независимо VPN там или нет.

     
  • 2.29, ACCA (ok), 08:05, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Потому, что KillSwitch - дeбильный костыль для виндомакаков. Хочешь default только через VPN - так и сделай. Убери тот, что тебе подсунул провайдер, вместо него вставь хостовый маршрут до VPN сервера.

    Не понимаешь, как работает маршрутизация - не берись крутить сети в Linux.

     
     
  • 3.45, Аноним (-), 12:52, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Да этот персонаж видимо из плеяды поклонников журнала хакер.ру.

    Отсюда и мудовые страдания, как бы не спалили его реальный IP при дисконнекте.

    Они уже лет 10 не могут решить эту невероятной сложности проблему.

     
  • 3.50, Аноним (-), 13:55, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как в роутере убрать "тот, что тебе подсунул провайдер"??
     
     
  • 4.68, ACCA (ok), 00:59, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Как в роутере убрать "тот, что тебе подсунул провайдер"??

    Включить static routing.

     
  • 2.35, anomymous (?), 09:09, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    iptables отменили?
     
     
  • 3.41, Аноним (-), 12:14, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Когда правила пишешь, нужно понимать что делаешь.
    В этом то и загвоздка для пользователей.
     
  • 2.51, sage (??), 14:16, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что мало кому нужно, это не совсем целевое использование VPN.
    Консольный OpenVPN в Linux даже самостоятельно DNS менять в /etc/resolv.conf не умеет, а прибегает, чего уж там.
    Есть желание — доделайте. Много идей, мало разработчиков и реальных дел.
     
     
  • 3.52, sage (??), 14:18, 16/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    *а прибегает к внешнему скрипту*
     

  • 1.72, Аноним (-), 03:40, 28/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ip ro add 0/1 via x.x.x.x(vpn gate)
    ip ro add 128/1 via x.x.x.x(vpn gate)
    ip ro add x.x.x.x(ext vpn ip)/32 via x.x.x.x(dafault isp gate) dev eth0(например)

    Это для примера.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру