Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита безопасности

12.05.2017 09:49

Сформирован корректирующий выпуск пакета OpenVPN 2.4.2, в состав которого вошли исправления, устраняющие проблемы, выявленные в результате независимого аудита механизмов шифрования. Одновременно опубликован отчёт с раскрытием деталей аудита. Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt.

На основании выработанных в ходе проверки рекомендаций в OpenVPN 2.4.2 внесено семь исправлений: устранена одна опасная проблема, одна уязвимость средней степени опасности и пять несущественных недоработок. В частности, исправлены следующие уязвимости:

CVE-2017-7478 - аутентифицированый пользователь может инициировать отказ в обслуживании VPN-сервера через отправку слишком большой порции данных в пакете P_CONTROL. Из-за простоты проведения атаки проблеме присвоен высокий уровень опасности. Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме не подвержены;
CVE-2017-7479 - аутентифицированый пользователь может вызвать крах OpenVPN через переполнение счётчика пакетов Packet-ID. Для совершения атаки нужно отправить несколько сотен гигабайт данных.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46538-openvpn

Ключевые слова: openvpn

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (16)

1.1, X3asd (ok), 10:06, 12/05/2017 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

> переполнение счётчика пакетов Packet-ID. Для совершения атаки нужно отправить несколько сотен гигабайт данных

не так уж и много..

жесть что разработчики сами не догадались что кто-то может *действительно* использовать openvpn-соединение -- для дел (передавать через соединение сотни гогобайт полезных данных), а не подключиться на 3 минуты ради пары лулзов (пару сообщений на форумы)..

2.2, F (?), 10:21, 12/05/2017 [^] [^^] [^^^] [ответить]	+13 +/–
Вы, уважаемый, не говорите за разрабов, тем более такие фантазии. OpenVPN в проде стоит годами, и опыт накоплен - а "может вызвать" и "всегда вызывает" все же разные вещи.

2.8, Anonplus (?), 14:05, 12/05/2017 [^] [^^] [^^^] [ответить]

+/–

Возможно, там надо передать очень много сотен гигабайт за сессию. Учитывая, что OpenVPN чудовищно режет скорость:

"Предположим, вы подключаетесь к серверу в США из России через OpenVPN со стандартными значениями буферов сокета. У вас широкий канал, скажем, 50 МБит/с, но в силу расстояния, пинг составляет 100 мс. Как вы думаете, какой максимальной скорости вы сможете добиться? 5.12 Мбит/с."

пруф: https://habrahabr.ru/post/246953/)

это может быть сложной задачей (сессия окончена/порвалась - баг не случился).

3.9, Anonplus (?), 14:09, 12/05/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Для тех, кому лень читать по ссылке: изменение размера буферов по умолчанию позволило поднять скорость по UDP с 30 до 80 мегабит. В 2,5 раза, Карл на ровном месте.

4.13, X3asd (ok), 16:18, 12/05/2017 [^] [^^] [^^^] [ответить]	+1 +/–
> Для тех, кому лень читать по ссылке: изменение размера буферов по умолчанию > позволило поднять скорость по UDP с 30 до 80 мегабит. В > 2,5 раза, Карл на ровном месте. это всем-известная проблема -- и конено же в старых версиях openvpn в конфигах люди меняли размеры этих буфферов

3.19, user455 (?), 18:59, 15/05/2017 [^] [^^] [^^^] [ответить]	+/–
> Учитывая, что OpenVPN чудовищно режет скорость: на tcp соединении с некорректными mss

2.10, Аноним (-), 15:02, 12/05/2017 [^] [^^] [^^^] [ответить]	+/–
Несколько сотен гигабайт данных — это, как я понимаю, имеются в виду пакеты без полезной нагрузки. А при отправке полезных данных будут уже, наверное, десятки терабайт.

2.18, Харли (ok), 06:32, 15/05/2017 [^] [^^] [^^^] [ответить]	–2 +/–
Аналитик или ТП делает в УЯх select * from ... и получает те самые гиги как из пушки, со всеми вытекающими.

1.3, sage (??), 10:50, 12/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме не подвержены Нет, они тоже подвержены проблеме, но злоумышленнику нужно иметь tls-auth или tls-crypt-ключ. Например, если это публичный VPN, то такие ключи у злоумышленника будут.

2.12, X3asd (ok), 16:16, 12/05/2017 [^] [^^] [^^^] [ответить]

+/–

>> Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме
> не подвержены
>
> Нет, они тоже подвержены проблеме, но злоумышленнику нужно иметь tls-auth или
> tls-crypt-ключ. Например, если это публичный VPN, то такие ключи у злоумышленника будут.

в новости сказано что уязвимость доступна для *аутентифицированного* пользователя...

как считаешь если пользователь уже прошёл аутентифицикацию -- может ли быть такого что у него не оказалось каких-то-там tls-auth-ключей?

если tls-auth-ключа нет -- то даже до аутентификации дело дойти не может

1.11, mumu (ok), 15:30, 12/05/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
OpenConnect пока не проверяли?

2.14, Аноним (-), 16:23, 13/05/2017 [^] [^^] [^^^] [ответить]	–3 +/–
кому нужно местечковое подельице в ещё непроверенных пучинах опенсорца?

3.15, Аноним (-), 18:08, 13/05/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Ну да, троян - предпочтительнее.

4.16, Аноним (-), 19:13, 13/05/2017 [^] [^^] [^^^] [ответить]	+/–
Ну куда ты зарываешься-то? Опенконнект это клиент для никому ненужного эниконнекта и жуноса пульза, и тут ты его прям равняешь с опенвпном, который нынче чуть ли не центр индустрии самодельного впна. Ненадо так.

2.17, t28 (?), 16:21, 14/05/2017 [^] [^^] [^^^] [ответить]	+/–
> OpenConnect пока не проверяли? Было бы неплохо. %)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: