|
| 1.5, Фнон (-), 11:54, 09/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
Т.е они в июне рассказывали про незначительный баг (ну подумаешь логи забиваются мусором), а сами, скорее всего знали про серьезность, и поменяли задним числом?
Это очень некрасиво - много людей не будет обновляться, если в changelog'е какие-то минорные изменения.
| | |
| |
| 2.7, Аноним (-), 12:03, 09/01/2025 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> а сами, скорее всего знали про серьезность, и поменяли задним числом?
Неа, все намного хуже - до них просто не поняли к чему может привести эта проблема.
И только потом до жирафа дошло.
Прям показатель уровня современных кодеров.
| | |
| |
| 3.12, Аноним (12), 12:43, 09/01/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Неправда им сказали подержать уязвимость и не устраивать шумиху пока мы тут за несогласными не последним, а потом это отверстие закрывайте, а новое открывайте.
| | |
|
|
| 1.6, Аноним (-), 12:00, 09/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
Функция check_incoming_control_channel, куда был добавлен фикс, была написана 5 лет назад.
Отличная закладка! Минимум пять лет тыщщи глаз не видели дыру и спокойно пользовались открытым, надежным и заслуживающим доверия опенсорным продуктом.
А сейчас "oh, it just a bug!"
| | |
| |
| 2.10, Аноним (-), 12:21, 09/01/2025 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Отличная закладка! Минимум пять лет тыщщи глаз не видели дыру и спокойно пользовались
В OpenVPN сто лет к ряду была известная всем кто минимально интересовался - дыра в дефолтной конфиге - кода он ТИП СЕРТИФИКАТА НЕ ПРОВЕРЯЛ, ОЛОЛО.
И каждый первый клиент - мог взять и нагло митмануть ближнего своего, откосплеив сервак своим сертом. Он же той же ауторити выписан! :D
Так что спокойно ЭТИМ пользовались только те кто не интересовался что сие за летающий макаронный монстр и как его делают.
p.s. надеюсь это объясняет почему вайргад всем этим не занимается :)
| | |
| |
| 3.21, User (??), 15:30, 09/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Уф. Если под "типом сертификата" вы понимаете nsCertType - то тут все вопросы к openssl, его в чистом виде где-то в районе 1.1 депрекейтнули, а стандартом оно и не было никогда.
Если вы про extendedkeyusage который serverAuth\clientAuth - то формально они даже совершенно правы и все вопросы к IETF: RFC 5280 т.к. формально он на всю бошку optional и - по замыслу отсосдателей - должен использоваться исключительно для "TLS WWW server authentication" а не для всякого там опенвэпээна.
Проверять KU\EKU и считать, что этого достаточно - это надо даже не "разработчиком OpenVPN" быть а прям даже "экспертом opennet".
(Вот то, что эта борода _все еще_ не умеет в проверку соответствия SAN (Не, ну формально - дергай скрЫпт в --tls-verify и хоть запроверяйся) таки бида-огорчение. Т.е. и тут конечно можно дiдам в бороды наплевать и на RFC2818 пожаловаться - одни не подумали про несколько DNS-имен, другие deprecate'нули использование CN в этом качестве и напихали возможностёв в альтернативу (Сложьна!) - но то уже совсем в пользу бедных будет. )
Вместо этого все давно уже используют verify-x509-name - а кто икспердт, слышал звон и читал не тот хаутуй - тот может однажды удивиться, что CA оказывается может более одного сертификата с EKU 1.3.6.1.5.5.7.3.1 выписать - и громко жаловаться в спортлото на "небезопасность openvpn" потом.
| | |
| |
| 4.26, нах. (?), 19:08, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> CA оказывается может более одного сертификата с EKU 1.3.6.1.5.5.7.3.1 выписать
ну если тебе ломанули CA - то он выпишет (себе) и с правильным x509-name, столько, сколько понадобится васяну.
А тут прикол был в том, что и выписывать ничего не надо - уже ж выписан, на твое честное имя, берешь и пользуешь в качестве серверного, зуб даю - сервер я!
Увизгвимость, разумеется, исключительно теоретическая, потому что зачем ты в той стремной лабе полез подключаться к корпоративной сетке - совершенно непонятно. А если "коллеги" тебе такое прямо в сети предприятия устроили - то тут не впн чинить надо, а съ36ывать за границу, прихватив на память чей-нибудь чужой ноутбук, а то завтра они этим не ограничатся и на мясо тебя продадут.
| | |
| |
| 5.27, User (??), 19:46, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> ну если тебе ломанули CA - то он выпишет (себе) и с правильным x509-name, столько, сколько понадобится васяну.
Почему "ломанули"? Зачем "ломанули"? Просто берешь _любой_ выписанный этим же CA серверный сертификат и пионЭр с "типом сертификата" и чувством глубокой защищенности из хаутуя идёт... ну вот туда и идет. А про то, что под ovpn оказываецца! (не) нужно отдельный (intermediate) CA заводить - в прионЭрских хаутуях не писано.
| | |
| |
| 6.28, нах. (?), 20:02, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
ну такоэ тож... у чувака с выписанным корп-CA сертификатом хоть чего-нибудь тоже дофига интересных возможностей без всякого openvpn.
(от intermediate толку мало, нужно просто отдельный CA, которому незачем вовсе быть в корпоративной PKI, этот серт выписывается один раз и навсегда, можешь все запчасти от того CA сразу после этого удалить нахрен вместе с закрытым ключом, мы им никогда и ничего больше подписывать не будем)
То что в openvpn нельзя просто сделать key pining без всякого "ca" - в общем-то вопрос к его разработчикам, видимо, черезмерно увлекавшимися корпоративными игрищами в ущерб надежности и простоте.
| | |
| |
| 7.29, User (??), 20:13, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> ну такоэ тож... у чувака с выписанным корп-CA сертификатом хоть чего-нибудь тоже
> дофига интересных возможностей без всякого openvpn.
MITM на оборудовании мы организовать уже можем - а "найти" сертификат еще нет? Ну... бывает.
> (от intermediate толку мало, нужно просто отдельный CA, которому незачем вовсе быть
> в корпоративной PKI, этот серт выписывается один раз и навсегда, можешь
> все запчасти от того CA сразу после этого удалить нахрен вместе
> с закрытым ключом, мы им никогда и ничего больше подписывать не
> будем)
Ну, depends on. Я бы скорее сказал, что перспективу управлять мульеном разных CA ИБ в гробу видела - но тут возможны варианты вплоть до того, что CA в веденьи инфры, а не безов оказывается...
> То что в openvpn нельзя просто сделать key pining без всякого "ca"
> - в общем-то вопрос к его разработчикам, видимо, черезмерно увлекавшимися корпоративными
> игрищами в ущерб надежности и простоте.
Аминь.
| | |
| |
| 8.31, нах. (?), 21:01, 09/01/2025 [^] [^^] [^^^] [ответить] | +/– | ну как бы да, обычно это сильно разные направления Хотя, конечно, надо просто п... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.8, Аноним (8), 12:17, 09/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>сформированных в июне 2024 года.
Проблема не стоит выделенного яйца, никто не ставит софт, который не выдержан года три в дубовых бочках после релиза.
| | |
| |
| 2.11, Аноним (-), 12:22, 09/01/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> сформированных в июне 2024 года.
> Проблема не стоит выделенного яйца, никто не ставит софт, который
> не выдержан года три в дубовых бочках после релиза.
Эм... в сформированных в июне 2024 года как раз фикс.
А вот оказалось, что в твоих бочках совсем не мед, а нечто другое.
И сейчас у тебя прекрасный выбор - или обновляться на ненастоявшийся софт, или пользоваться заведомо дырявой версией.
| | |
| |
| 3.14, Аноним (8), 12:48, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>сформированных в июне 2024 года как раз фикс.
Ты плохо прочитал новость, Аноним. Написано же:
>В опубликованном несколько дней назад обновлении, проблема переведена в разряд критических (уровень опасности 9.1 из 10).
Уязвимость появилась в июне, несколько дней назад её объявили критической и исправили.
Через пару лет посмотрим, до конца ли исправили.
| | |
| |
| 4.15, Аноним (-), 12:57, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты плохо прочитал новость, Аноним.
Разве? А как понимать фразу:
"Проблема устранена в выпусках OpenVPN 2.5.11 и 2.6.11, сформированных в июне 2024 года."
Устранена.
Но внедрили эту уязвимость гораздо раньше, можно посмотреть когда менялся файл.
И это было несколько лет назад.
| | |
| |
| |
| 6.19, Аноним (19), 14:35, 09/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Что даже нельзя посмотреть имя и фамилию этого "бага"?
А вдруг там зарубежный ЖинТян, а не наш родной отечественный!
Это же возмутительно!!
| | |
|
|
|
|
|
| 1.23, 12yoexpert (ok), 16:42, 09/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > подстановку данных в плагины и сторонние обработчики
как это по-русски?
UPD нашёл:
which attackers can use to inject unexpected arbitrary data into third-party executables or plug-ins
автор, учи родной язык
| | |
| 1.24, Аноним (24), 17:29, 09/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я же говорил - именно в проекты "для анонимусов" бэкдоры и пихают. Корпораты же используют IPSec.
| | |
| |
| 2.30, Аноним (30), 20:35, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Пихать в проекты для анонимусов бэкдоры бессмысленно. Любой анонимус и так на виду: соцсетями не пользуется, а если и пользуется, то самыми маргинальными; ОС и браузер нестандартные, в любой более-менее продвинутой системе сбора данных о посетителях видны как на ладони, и смена юзер-агента только хуже делает — сразу же помещает таких в отдельную категорию посетителей с поломанными браузерами; обычными «мирскими» делами такие персонажи интересуются крайне редко, газет и журналов не читают, телевизор не смотрят, и таким образом палятся за две минуты разговора. Вот и сам подумай, зачем тратить силы на бэкдоры, если анонимусы сами себя игрой в шпионов «подсвечивают»?
| | |
|
|
