The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в OpenVPN и SoftEther VPN

13.11.2023 10:48

Подготовлен выпуск OpenVPN 2.6.7, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. В новой версии устранены две уязвимости:

  • CVE-2023-46850 - обращение к области памяти после её освобождения (use-after-free) может привести к отправке на другую сторону соединения содержимого памяти процесса, а также потенциально к удалённому выполнению кода. Проблема проявляется в конфигурациях, использующих TLS (запускаемых без параметра "--secret").
  • CVE-2023-46849 - возникновение ситуации деления на ноль может привести к удалённому инициированию аварийного завершения сервера доступа в конфигурациях, использующих опцию "--fragment".

Из не связанных с безопасностью изменений в OpenVPN 2.6.7:

  • Добавлено предупреждение при отправке другой стороной пакетов DATA_V1 при попытке подключения клиента OpenVPN 2.6.x к несовместимым серверам на базе версий 2.4.0-2.4.4 (для устранения несовместимости можно использовать опцию "--disable-dco").
  • Удалён завязанный на OpenSSL 1.x устаревший метод, использующий OpenSSL Engine для загрузки ключей. В качестве причины называется нежелание автора перелицензировать код с новыми исключениями на связывание.
  • Добавлено предупреждение при соединении клиента p2p NCP к серверу p2mp (комбинация, используемая для работы без согласования шифров), так как имеются проблемы при использовании версий 2.6.x на обеих сторонах соединения.
  • Добавлено предупреждение о том, что флаг "--show-groups" не отображает все поддерживаемые группы.
  • В параметре "--dns" удалена обработка аргумента "exclude-domains", появившегося в ветке 2.6, но пока не поддерживаемого бэкендами.
  • Добавлено предупреждение, показываемое, если управляющее сообщение INFO имеет слишком большой размер и не может быть перенаправлено клиенту.
  • Для сборок с использованием MinGW и MSVC добавлена поддержка системы сборки CMake. Удалена поддержка старой сборочной системы MSVC.

Дополнительно можно отметить выявление 9 уязвимостей в открытом VPN-сервере SoftEther. Одной из проблем (CVE-2023-27395) присвоен критический уровень опасности - уязвимость вызвана переполнением буфера и может привести к удалённому выполнению кода на стороне клиента, при попытке подключения к серверу, контролируемому злоумышленником. Уязвимость устранена в июньском обновлении SoftEther VPN 4.42 Build 9798 RTM. Ещё две уязвимости (CVE-2023-32634, CVE-2023-27516) дают возможность получить несанкционированный доступ к VPN-сеансу в ходе MITM-атаки через применение заданных по умолчанию учётных данных для сервера RPC. Уязвимости устранены в форме патча.

Уязвимости CVE-2023-31192 и CVE-2023-32275 (патч) могут привести к утечке конфиденциальной информации в некоторых пакетах в результате совершения MITM-атак. Оставшиеся 4 уязвимости (CVE-2023-22325, CVE-2023-23581, CVE-2023-22308 и CVE-2023-25774) могут применяться для вызова отказа в обслуживании, например, для принудительного разрыва соединения или аварийного завершения работы клиента. В кодовую базу SoftEther VPN недавно также было принято исправление 7 уязвимостей, подробностей о которых пока нет.

  1. Главная ссылка к новости (https://github.com/OpenVPN/ope...)
  2. OpenNews: Доступен OpenVPN 2.6.0
  3. OpenNews: Представлен модуль ядра, способный в разы ускорить OpenVPN
  4. OpenNews: Представлен VPN Rosenpass, устойчивый к атакам с использованием квантовых компьютеров
  5. OpenNews: VPN-сервер SoftEther VPN открыт под лицензией GPLv2
  6. OpenNews: Серия атак TunnelCrack, направленных на перехват трафика VPN
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60103-openvpn
Ключевые слова: openvpn, softether
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (118) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:54, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Интересно, что в репах лежат версии даже 2.5.1+
    Никто особо то и не собирается обновлять
     
     
  • 2.23, ИмяХ (ok), 11:37, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Никто особо то и не собирается обновлять

    никто, в том числе и ты

     
     
  • 3.80, Аноним (80), 17:39, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Летишь?
    Юзеры не обновляют пакеты в репах
    Учи матчасть
     
     
  • 4.141, Рекурсер (?), 17:44, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Юзеры не обновляют пакеты не в своих репах, только лишь в своих
    Учи матчасть 2
     
     
  • 5.151, Аноним (1), 20:16, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Демагог!
    Учи матчасть 3
     
  • 2.40, Аноним (40), 12:33, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://repology.org/project/openvpn/versions
     
  • 2.52, Аноним (52), 13:27, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Интересно, что в репах лежат версии даже 2.5.1+

    Так они и не подвержены. В описании обеих уязвимостей

    > OpenVPN 2.6 from v2.6.0 up to and including v.2.6.6

     

     
     
  • 3.81, Аноним (80), 17:40, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Отоночо!
    Ясно-понятно
     

  • 1.2, Denys (??), 10:57, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Исправьте: для SoftEther VPN выпущен релиз в ноябре с исправлениями
     
     
  • 2.5, Аноним (5), 11:10, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Исправьте: для SoftEther VPN выпущен релиз в ноябре с исправлениями

    Где? В репозитории только релиз двухлетней давности и августовская бета.
    https://github.com/SoftEtherVPN/SoftEtherVPN/tags
    https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/tags

    На сайте https://www.softether.org/ тоже только августовская бета.

     
     
  • 3.11, пох. (?), 11:19, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Где?

    здесь: SoftEther VPN 4.42 Build 9798 RTM (June 30, 2023)
    cve-2023-27395 в ней УЖЕ исправлен. С разморозочкой авторов новости.

    августовская бета - это вот про ту, последнюю малореализуемую псевдоуязвимость, там изменен сам протокол поэтому пока я бы не советовал ее использовать.

     
     
  • 4.29, Аноним (29), 11:54, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но коммит они добавили только 28 сентября https://github.com/SoftEtherVPN/SoftEtherVPN/commit/b8e542105f748b88e518a969c2

    В диффе от SoftEther VPN 4.42 Build 9798 RTM https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/commit/89939eb52f1f40e4f75 то исправление действительно есть, но никак не помечено.

     
  • 4.34, Аноним (29), 12:00, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И, кстати, в бете не исправлены эти 7 уязвимостей  https://github.com/SoftEtherVPN/SoftEtherVPN/commit/6a170ac6914a325396e9759b15
     
  • 3.14, Denys (??), 11:23, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Путаете со Stable версией
    https://github.com/SoftEtherVPN/SoftEtherVPN_Stable
     

  • 1.3, Аноним (3), 10:59, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Я на wireguard, у меня таких проблем нет. В целом wireguard гораздо удобнее, начнем с того, что вместо сотен опций конфигурации там всего штук пять-десять. Не требует системдоса, так как крутится в ядре. Удобный cli. Правда запускать надо поверх shadowsocks, так как провайдеры все-таки научились в DPI (это проблема относится и к OpenVPN).
     
     
  • 2.4, Denys (??), 11:06, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    "Правда запускать надо поверх shadowsocks"...
    "так как провайдеры все-таки научились в DPI"
    свобода, демократия
     
  • 2.9, Аноним (9), 11:16, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    забыл подытожить,  получается что Wireguard такое же говно как и OpenVPN, но только другого сорта, что тот, что этот, без shadowsocks ничего не могут.
     
     
  • 3.63, Аноним (63), 15:00, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что каждый должен заниматься своим делом. OVPN и WG предназначены для создания туннелей, а не для маскировки своего трафика под белый шум.
     
  • 3.76, Аноним (76), 17:15, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это инструменты для прокидывания VPN сетей, а не для сокрытия траффика. Я бы на месте создателей VPN-ок вообще переложил это занятие на туннели специализированных инструментов, того же shadowsocks, вместо того чтобы изобретать свой велосипед, а в итоге получалось бы OpenVPN, где шифрование статическим ключём у них похоже через ECB сделано.
     
     
  • 4.82, Аноним (80), 17:42, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так обфускаторов хватает
    и провайдеры впн их используют
     
  • 2.10, Аноним (10), 11:19, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    A Softether тоже не пробивается через DPI?
     
     
  • 3.83, Аноним (80), 17:43, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    блокируется так же
    хоть и есть маскировка под хттпс
     
     
  • 4.97, penetrator (?), 18:21, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    софтезер может по 53 порту ломится даже

    курите мануал, может что-то и пробъет

     
     
  • 5.100, Аноним (100), 19:23, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну-ну
    так это касается любого протокола
    если сам настраиваешь сервер. причем здесь анализ трафика?
    obfs4 научились разспознавать и это можно проанализировать
    на наличие неспецифичых заголовков
     
  • 5.108, Аноним (80), 20:27, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Даже коммерческий windscribe
    умеет udp:53
     
  • 2.13, пох. (?), 11:22, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Я на wireguard, у меня таких проблем нет.

    держи нас в курсе, нам очень интересно (нет)

    > В целом wireguard гораздо удобнее

    для васяна пытающегося нае...ть товарищмайора - удобнее.
    А как понадобится тебе настроить сотенку подключений для сотрудничков посрывавших в Тбилиси и Ереван - так сразу узнаешь почему он абсолютно бесполезная х-ня.

     
     
  • 3.115, Аноним (115), 20:59, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Подключил значительно больше суммарной тысячи сотрудников по всему миру и внутренних ресурсов. Расскажи, что у тебя не получается, может помогу.
     
  • 2.22, Jethro_Tull (??), 11:34, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Насколько мне известно, WG довольно просто заблочить. А учитывая начатую борьбу совка против VPN, это может стать проблемой.
     
     
  • 3.26, пох. (?), 11:51, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –11 +/
    эта проблема - исключительно проблема жителей одного скрепостана, решать ее за вас никто не планирует вообще, и автор wg в частности.
    Ему была нужна поделка для ниасиляторов ipsec для соединить побыстрому пару локалхостов, он ее сделал, работает, ачивка получена, досвидос.

    Прятать тебя от товарищмайора он не собирался вот вообще.

    Но гораздо важнее то что он - сам ничего кроме локалхостов не использует, и что для работы, а не для васян-поделок нужно кое-что еще - даже и не догадывается. (и это к счастью, потому что когда люди начинают "догадываться" но сами этим не пользуются - догадки получаются кривые и нерабочие)

     
     
  • 4.43, Jethro_Tull (??), 12:42, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, почему же одного? Таких скрепостанов много и будет ещё больше. В том же Германистане пользоваться интернетом без VPN становится крайне затруднительно.
     
     
  • 5.45, пох. (?), 12:46, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Автору пофиг - он на мэйлру и вконтаткик ходить этим способом вообще не планировал. Повторяю - это инструмент побыстрому связать два локалхоста.

    А ты от товарищмайора - допереключаешься!

     
  • 5.64, Аноним (63), 15:02, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И wg в Германостане прекрасно работает и решает проблему. Об чём тебе и пытаются сказать.
     
  • 5.146, Аноним (146), 12:37, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так в германии пока усе вполне демократишно)
     
     
  • 6.150, Аноним (1), 20:15, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну да.. когда все меняют реальность на 360 градусов.
    демократия в так случае - НЕПОБЕДИМА!
     
  • 4.44, An (??), 12:46, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что с wg не так по сравнению с openvpn/ipsec применительно к ситуации с "дофига пользователей"?
     
     
  • 5.73, User (??), 15:42, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ээээ... а вы одно и другое вообще когда-нибудь кроме как на opennet'е видели?
    Условно - что openvpn, что (реализации) ipsec - законченные решения, а WG - это даже не "движок от машины", а кусок движка. Ну, вроде как даже и неплохой - но чтоб на этом куда-нибудь кроме как между своими локалхостами доехать - надо СТОЛЬКО всего накрутить, что нуигонафик.
     
     
  • 6.118, Аноним (115), 21:24, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что вдруг случилось с юникс-веем и с «одна программа делает одну вещь»? Или это другое, надо понимать?
     
     
  • 7.126, User (??), 07:23, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эмммм... да ничего вроде? Как пилили троллейбусы-из-буханки по заветам пророка Лебеды - так и пилят. Одно время правда казалось, что вымрут шо те динозавры - но тут на 1\6 части суши ПОПЁРЛО и можно продолжать пилить аналоговнеты-из-палка-и-веревка
     
     
  • 8.140, Аноним (115), 17:03, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А Tailscale 8212 это тоже палка и верёвка с 8537 части или это троллейбус ... текст свёрнут, показать
     
     
  • 9.142, User (??), 22:28, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это крупная корпа, которая способна из этого куска движка сделать готовое решени... текст свёрнут, показать
     
  • 5.147, Ananimus (?), 13:01, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А что с wg не так по сравнению с openvpn/ipsec применительно к ситуации с "дофига пользователей"?

    Да ничего особенного, просто есть секта свидетелей "старых проверенных технологий" которые почему-то не могут признать что туннели не требующие софта на миллионы строк это хорошо.

     
  • 2.50, Аноним (50), 13:23, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    угу, вообще никаких проблем. кроме того, что сервер даже не может сам распределять IP адреса клиентов - они сами себе их выбирают. И каждому клиенту нужно давать отдельную конфигурацию, а также самому следить, чтобы ip адреса не пересекались. Очень удобно, да.
     
     
  • 3.60, Аноним (60), 14:40, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > они сами себе их выбирают

    Кто-то не осилил ман... AllowedIPs.

     
     
  • 4.99, Return76 (?), 18:50, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    При чем здесь AllowedIPs ? Это параметр указывает, на какие IP адреса вы будете ходить через туннель. А вот параметр Address в секции [Interface] - вот там да, жестко забитый адрес клиента.
     
     
  • 5.125, Аноним (60), 07:02, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Начнем с того, что в ВГ нет ни клиентов, ни серверов. Он как бэ пир ту пир.
    Ну, ок. Будем рассматривать клиент-серверную модель, если тебе так привычнее.
    Если у "клиента" в секции Interface прописан адрес отличный от того, что прописано на "сервере" в AllowedIPs в секции Peer, относящейся к данному "клиенту", то он будет сосать шишку. Отсюда следует, что "клиент" не может сам себе назначить адрес в сети. Вот при этом тут AllowedIPs...
     
  • 2.55, Аноним (55), 13:50, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Не требует системдоса

    OpenVPN действительно не требует Системды. Ты уж разберись получше. А то окажется, что не заметил проблем с Варей.

     
     
  • 3.59, Аноним (3), 14:09, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Формально да, а на практике требуется кто-то, кто менеджерит его процесс. Это либо системдос (классика жанра, рекомендуется аффтарами опенвпн), либо нетворкменеджер. А вот wireguard работает вообще без PID. Без менеджера твоя судьба-судьбинушка -- запускать в баше с амперсендом в конце, лол.
     
     
  • 4.95, sabitov (ok), 18:14, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На генте нормально работает годами, ни кто его не "менеджерит", бо нет на этих машинах и системд, ни нетворкменеджера. Процесс будет запущен, это конечно, и пид он займёт, но в чем здесь беда? Во прям сейчас посмотрел на конкретной машине -- 210 ядерных процессов. Ну будет еще один в юзерспейс и чо? :)
     
  • 4.103, Аноним (103), 20:04, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Господи что ты несешь? Какой системд, какой нетворкменеджер? У меня ovpn в NetBSD прекрасно работает, где ничего этого нет. И да, wg здесь тоже есть.
     
     
  • 5.137, крокодил мимо.. (?), 14:30, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Господи что ты несешь? Какой системд, какой нетворкменеджер? У меня ovpn в NetBSD прекрасно работает, где ничего этого нет. И да, wg здесь тоже есть.

    два чая этому Господину.. в OpenBSD также.. и пакеты/порты оперативно обновили новыми версиями (2.6.7)..

     
  • 4.154, Аноним (154), 22:02, 16/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Формально да, а на практике требуется кто-то, кто менеджерит его процесс. Это либо системдос (классика жанра, рекомендуется аффтарами опенвпн), либо нетворкменеджер. А вот wireguard работает вообще без PID. Без менеджера твоя судьба-судьбинушка -- запускать в баше с амперсендом в конце, лол.

    Ну то есть: всё правда - системда не обязательна сервису.
    Но: просто это другое.

    Ясно. Понятно.

    P.S.

    > Без менеджера твоя судьба-судьбинушка -- запускать в баше с амперсендом в конце, лол.

    Это ж достоинство.

    Хочешь - система инициализации менеджит сервис.
    Хочешь - демон NM.
    Хочешь - nohup, амперсанд сделал.
    Хочешь - в настройках дописал.

    Прекрасная ж реализация.

     
  • 2.56, лютый арчешкольник... (?), 13:50, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Я на wireguard, у меня таких проблем нет. В целом wireguard гораздо удобнее

    я на openvpn и у меня тоже нет, читай условия эксплуатации. нет неудобнее.
    нет, системд не нужен. когда там wg через http-прокси научится работать?

     
     
  • 3.84, Аноним (80), 17:48, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    если честно, т о и опенвпн
    не совсем просто пашет
    а тем более через локалхост
     
  • 2.68, Ананий (?), 15:08, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >(это проблема относится и к OpenVPN).

    со статичными прешаред ключами тоже?

     
  • 2.139, AndreyChe (?), 16:08, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как в ваергарде установить срок действия ключа? Или ты будешь руками блочить ключи сотен сотрудников, которым нужен временный доступ?
     

     ....большая нить свёрнута, показать (40)

  • 1.6, Шарп (ok), 11:11, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –15 +/
    В обществе должно сформироваться мнение о недопустимости написания программ на не безопасных языках вроде си. Сколько можно терпеть уязвимости? Вы не видите что-ли, что сишные программы совершенно разных авторов просто разваливаются от одних и тех же проблем? Это говорит, что дело не в квалификации людей, а дело в самой сишке, в её отвратительной концепции.
     
     
  • 2.20, scriptkiddis (?), 11:30, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну так че там? Ты уже переписал на нужном языке openvpn без потери функционала? Нет? Странно.
     
     
  • 3.31, Аноним (31), 11:59, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Без потери дыряшечного функционала для тов. майора?
    ну так такое переписывание того не стоит)
     
     
  • 4.33, FF (?), 11:59, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так пишут только юноши, которые не кодили ничего корпоративно
     
     
  • 5.104, Аноним (104), 20:11, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > так пишут только юноши, которые не кодили ничего корпоративно

    А как пишут корпоративные бракоделы можно наблюдать в новости (и в сотнях ей подобной).

     
  • 3.32, FF (?), 11:59, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да что ты, царь только знает как правильно
     
  • 3.48, Анонем (?), 13:18, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ФУНКЦИОНАЛ - математическое понятие, возникшее в вариационном исчислении для обозначения переменной величины, заданной на множестве функций, т. е. зависящей от выбора одной или нескольких функций. Напр., длина дуги кривой, соединяющей две фиксированные точки, будет функционалом, т. к. величина длины дуги зависит от выбора функции, график которой соединяет эти точки.
     
     
  • 4.85, Аноним (80), 17:52, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не умничай
    читай про - омоним
     
  • 2.35, FF (?), 12:00, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    запретить небезопасных анонимов, которые экологическую катастрофу планеты провоцируют своим отношением к природе "докупите 64ГБ ОЗУ, я на JS за три дня заработал"
     
  • 2.36, FF (?), 12:04, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати, Шарп, как так у меня получилось, что когда я тыкал студию с шарпом на предмет работы с последовательным портом (это такие до сих пор в промышленности стандарт, но мамкины думают, что это от мышек с шариками осталось), у меня во время дебага BSOD вылетал, всего лишь на Hello world
     
     
  • 3.38, Аноним (38), 12:19, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "от мышек с шариками осталось" - от мышей-самцов, в смысле?
     
  • 3.41, Аноним (31), 12:36, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    УМВР, даже с ардуинкой через ком-порт мигал светодиодом.
    Может система плохо настроена? Или кривизна рук превысила даже низкую планку мелкософта
     
     
  • 4.49, FF (?), 13:20, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С руками у меня всё в порядке. Мигать светодиодом на ардуине из примера с MSDN - да. Передавать данные с STM32 на максимальной скорости асинхронно чтобы не вис гуй через Virtual Com Port - нет. На Qt сразу все получилось.
     
  • 4.51, FF (?), 13:23, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Другими словами, C# библиотека для работы с сериалом видимо плохая и очень тормознуто получается в плане временных ожиданий, если насыпать прям данные хотя бы 700КБ/с. Оно будто захлебывалось, и при нажатии на стоп отладки BSOD был. Шарписты прикручивают на винапи, я даже хотел либу на Qt заимпортить.
     
  • 3.54, Советский инженер (ok), 13:47, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >у меня во время дебага BSOD вылетал, всего лишь на Hello world

    это значит, что тебе либо питон либо яваскрипт. ничего даже близко напоминающего компилируемый язык не трогай больше. тем более в промыщленных установках.

     
  • 3.79, Шарп (ok), 17:34, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >я тыкал студию с шарпом
    >во время дебага BSOD вылетал

    У тебя виндопроблемы какие-то. Ни чем не могу помочь. У меня dotnet под линуксом. Разработка в VS Code. Винды даже в дуалбуте нет.

     
  • 3.123, Таблица умножения (?), 03:11, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже тыкал компорт, только в лажарусе. И из всех реализаций компонентов и библиотек остановился на самой простой, потому что только она работала быстро, надежно и без потери данных. Так что это всё может быть.
     
  • 2.77, Аноним (104), 17:27, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В обществе должно сформироваться мнение о недопустимости написания программ на не безопасных языках вроде си. Сколько можно терпеть уязвимости?

    Извини, но на этом сайте так говорить не принято. Сейчас тебе местные сишные лапшекодеры накидают минусов.

    Очевидно, что если сейчас, в 2023 году, кто-то на полном серьезе употребляет слово "безопасность" в отношении сишного кода, то в вопросах безопасности он абсолютно некомпетентен. Возьми в пример хоть этот OpenVPN: на сайте слово secure встречается 11 раз, а на деле "ой, вылезли за буфер" и "ой, дважды очистили память". Стыд да и только.

     
     
  • 3.105, Аноним (103), 20:12, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вылезание за границы буфера - это обязательное требование для языка, на котором работают с железом, DMA, пишут операционные системы, пишут firmware и тд. Если яп тебе такое не позволяет, то написать на нем можно только всякую чепуху для запуска в браузере.

    И какой, кстати, ты язык предлагаешь называть безопасным? Неужели раст? Ну дак раст в вопросе сборки бинарей полагается на llvm, написанный на дырявом C++. А там ведь что ни строка, то обязательно переполнение буфера. Так ведь можно и боров чекер сломать.

     
     
  • 4.107, Аноним (104), 20:21, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вылезание за границы буфера - это обязательное требование для языка

    Ясно, понятно...

    Ну, другого от сишечного эксперта я и не ожидал. Серьезно: я тут от местных экспертов и не такую дичь читал, так что меня не удивишь :)

    > раст в вопросе сборки бинарей полагается на llvm, написанный на дырявом C++. А там ведь что ни строка, то обязательно переполнение буфера. Так ведь можно и боров чекер сломать.

    Конечно, там же дырявый C++ код вставляется прямо в сгенерированные бинари!

     
     
  • 5.110, Аноним (103), 20:31, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно, там же дырявый C++ код вставляется прямо в сгенерированные бинари!

    То есть ты спокойно доверяешь компиляцию твоего безопасного кода на растёт с кучей закорючек и без единого unsafe какому-то дырявому компилятор у на С++? И нет, эксперт по расту, дырявый С++ не вставляет  код прямо в сгенерированные бинари, он эти бинари генерирует. Ты если такой принципиальный в вопросах небезопасных яп, будь принципиальным до конца и откажись от llvm, gcc, и тд. Напиши свой кодогенератор на растёт, к-й сможет напрямую взять код на растёт и превратить его в бинарь, минуя промежуточные llvm-представление.

     
  • 5.112, Аноним (103), 20:37, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И, кстати, ассемблер тоже не безопасный. Не хочешь от него отказаться?
     
  • 4.113, Советский инженер (ok), 20:46, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >А там ведь что ни строка, то обязательно переполнение буфера.

    ты со своими васянскими хелоуаордами не путай.
    >Так ведь можно и боров чекер сломать.

    ты бы лучше за своими штанами следтл, уже дымят походу

     
  • 2.109, Аноним (104), 20:28, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Это говорит, что дело не в квалификации людей, а дело в самой сишке, в её отвратительной концепции.

    Нет, если люди из десятилетия в десятилетие наступают на одни и те же грабли и не делают выводов - это очень много говорит не только об их квалификации, но и об умственных способностях в целом.

    > В обществе должно сформироваться мнение о недопустимости написания программ на не безопасных языках вроде си. Сколько можно терпеть уязвимости? Вы не видите что-ли,

    Да все всё видят и давно поняли. Только, видишь ли, такие люди - компетентные и высококвалифицированные специалисты - не станут лепить халтуру в опенсорсе на сишочке.

     

  • 1.7, Анонин (?), 11:11, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > use-after-free
    > переполнением буфера и может привести к удалённому выполнению кода

    Классические дырящечные уязвимости в секурити проектах))

     
     
  • 2.78, Аноним (104), 17:29, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зато на сайте OpenVPN слово sevurity упомянуто 11 раз. Понты дороже денег...
     

  • 1.17, Аноним (17), 11:24, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    softether блокируется DPI в РФ?
     
     
  • 2.37, FF (?), 12:06, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    у него помимо собственного протокола и настроек есть еще встроенные опенвпн и другие вещи, т.е. протоколов несколько выходит
     
  • 2.39, glad_valakas (?), 12:29, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    исходите из того, что:
    https блокируется в РФ только на определенные dst IP иноагентов.
    чтоб заработаь стаус иноагента надо постараться.
     
     
  • 3.86, Аноним (80), 17:54, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    все туннели наружу
    блочаться без всякой иногентности
     
     
  • 4.114, glad_valakas (?), 20:50, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > все туннели наружу
    > блочаться без всякой иногентности

    ???
    мне о таком не докладывали.
    смыл в том, что https тоже своего рода туннель.

     
     
  • 5.119, Аноним (1), 00:35, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Таки и его начились анализировать.
    недавние проблемы с obfs4 прямо намекают
    в 2024 примут закон, в котором определят
    в конечном счете какие протоколы/ресурсы
    для РФ "опасны"
     
  • 2.46, Аноним (46), 13:00, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    https://habr.com/ru/news/773348/
     
     
  • 3.101, Аноним (100), 19:30, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в дагестане не помогло
    тспу-шмспу.. бабки растаскивают
    по предлогом безопасности
     

  • 1.42, Аноним (42), 12:37, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кроме XRay уже ничего не актуально.
     
     
  • 2.61, Аноним (60), 14:46, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ВПН не для обхода блокировок нужен. И Хрей не объединит два компа в сеть. И ВГ можно поверх Хрей пускать через dokodemo-door...
     
     
  • 3.70, Аноним (70), 15:14, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ВПН не для обхода блокировок нужен.

    В 99% случаев только для этого. Обойти блокировку, скрыть айпишник от админа сайта и траффик от провайдера.

     
     
  • 4.75, Аноним (60), 16:44, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это все равно, что сказать - DHT в 99% случаев нужен только для УГ Овального.
    Не пори чушь.
     
  • 4.116, glad_valakas (?), 21:04, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> ВПН не для обхода блокировок нужен.
    > В 99% случаев только для этого. Обойти блокировку,

    ну да. ковровые блокировки тоже необходимо обходить.

    > скрыть айпишник от админа сайта

    ошибка. все эндпоинты под моим управлением.

    > и траффик от провайдера.

    ошибка. от ТСПУ или как эта DPI-дурмашина называется.

    я конечно могу позвонить на 8-495-748-13-18 (даже факс туда могу,
    рабочее оборудование есть) или заслать скан официального письма
    To: supervising@noc.gov.ru
    CC: vpn@digital.gov.ru

    не если у них о5 чего-то глюкнет или какие-нибудь учения, то я буду крайний.

     
     
  • 5.149, Аноним (1), 20:13, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > ошибка. все эндпоинты под моим управлением.

    Плевать. Что дальше?
    Если известный провайдер впн ты знаешь куда пошел клиент.
    А если нет. То что???

     

  • 1.62, Аноним (62), 14:47, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    openvpn 2.6.7 валится, ждите фикса
     
     
  • 2.124, OpenVPN (?), 04:11, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это: https://github.com/OpenVPN/openvpn/issues/449 ?
     
     
  • 3.143, Аноним (143), 05:55, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да
     
     
  • 4.152, OpenVPN (?), 03:22, 16/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Закоммитили "фикс".
     
     
  • 5.153, Аноним (143), 06:14, 16/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    на днях будет 2.6.8
     
     
  • 6.155, OpenVPN (?), 01:48, 18/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Релизнули.
     

  • 1.65, Аноним (70), 15:05, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Опять ошибки с памятью. Ох, сколько их ещё будет найдено 😁
     
  • 1.98, penetrator (?), 18:23, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Проблема проявляется в конфигурациях, использующих TLS (запускаемых без параметра "--secret").

    # For extra security beyond that provided
    # by SSL/TLS, create an "HMAC firewall"
    # to help block DoS attacks and UDP port flooding.
    #
    # Generate with:
    #   openvpn --genkey --secret ta.key
    #
    # The server and each client must have
    # a copy of this key.
    # The second parameter should be '0'
    # on the server and '1' on the clients.

    Это оно? Если да, то у меня включено, как и всех кто прочитал про extra security и port flooding.

     
     
  • 2.102, Аноним (100), 19:32, 13/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    мы не видим что у тебя включено!
    выкладывай конфиг полностью
     

  • 1.117, Аноним (-), 21:19, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Уязвимости в OpenVPN и SoftEther VPN

    Донфилд им так то приветы передавал :). Кто б сомневался что в этих монстрах багом навалом.

     
     
  • 2.131, Аноним (100), 11:04, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Softether VPN - идеален.

    Тебе бы знаний побольше и все мучения закончились

     

  • 1.127, Аноним (127), 09:11, 14/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    OpenVPN - переусложненное гавно.
    Реализация его отвратительна и везде по разному реализована.
    Никогда его не использовал. Дебильные ключи и сертификаты, чтобы просто кинуть чертов туннель. Поэтому L2TP + ipsec лучшее решение сейчас.
    Сколько не пытался работать с openvpn - всегда блевать хочется.

    Softether VPN - идеален.

     
     
  • 2.129, Аноним (100), 11:01, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    активно используй PPTP
    вообще нет проблем
    минимум настроек
     
     
  • 3.135, нах. (?), 11:57, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > вообще нет проблем

    примерно до второго юзера в той же сети - нет проблем.
    Ну, если конечно gre вообще не зафильтрован нафиг потому что опять кто-то забыл что есть еще какие-то протоколы кроме tcp и udp.

    А так - для массового сервиса, конечно, гораздо проще и эффективней чем псевдовайры.

     
  • 2.144, Аноним (143), 06:00, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    микротик? :-)
     
     
  • 3.158, Herrasim Muhmuh (?), 04:34, 20/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Микрот - ванлав, да
     

  • 1.128, Аноним (127), 09:16, 14/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну почему нельзя просто сделать нормальный VPN, в котором тупо будет логин и пароль и больше ничего для авторизации?
    Один четкий стандарт и больше никаких дебильных фишек.
    Жаль, что нет реализации VPN по SSH везде за стандарт - идеальная вещь была бы. Велосипеды строят.
     
     
  • 2.130, Аноним (100), 11:02, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    давно уже придумано
    см вики - pptp
     
     
  • 3.133, Аноним (127), 11:14, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Устаревший протокол. Не надежен. Тогда я просто лучше IP туннели заюзаю. Зачем мне лишний оверхед
     
  • 2.136, нах. (?), 12:05, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну почему нельзя просто сделать нормальный VPN, в котором тупо будет логин и пароль

    потому что если ты передашь эти логин с паролем плейнтекстом - к тебе могут заглянуть на огонек другие васяны.

    А если ты начнешь пытаться играть в наколеночное шифрование - то васянов станет даже еще больше.

    Поэтому либо psk (который не логин и не пароль - и НЕ передается вообще) и адский гемор потом разобраться кому какой принадлежит, как их вовремя экспайрить и управлять доступами, либо вообще сертификаты и все из этого вытекающее.

    Внезапно, простых решений в безопасности - нет.

    > Жаль, что нет реализации VPN по SSH везде за стандарт - идеальная вещь была бы. Велосипеды строят.

    вот ты сейчас например предложил - велосипед. Причем - с квадратными колесами, потому что ssh - _remote_shell_ - и туннель он позволяет протому что юзер с шеллом _и_так_ может десятком разных способов создать себе туннельчиков, незачем уже от него пытаться защититься, все равно бестолку. Предполагается что этот юзер - доверенный и ему можно всё.

    А вот наоборот - в нем в принципе не предусмотрено автором. Который еще в 90е говорил что так - by design, и если вы не доверяете этому пользователю шелл на ваш хост - поищите просто другое решение.

    Все напиханные опенбсдшниками костыли и подпорки эту корневую проблему никак не решают (точнее - до первого несознательного элемента, решившего поковырять деревянную дверку пальчиком)

     
  • 2.145, Аноним (143), 06:13, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    удивительным образом можно openvpn настроить без авторизации по ключам.
     

  • 1.156, ОнанВарвар (?), 10:42, 19/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Использую SoftEther VPN (японцы знают толк в извращениях).
    В целом доволен. Единственно не хватает gui морды для gnu/linux. Но движение в данном направлении идет.
     
  • 1.157, Herrasim Muhmuh (?), 04:29, 20/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Постойте ка... Но, ведь на ноль делить !нельзя!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру