Представлены (http://sourceforge.net/p/openvpn/mailman/openvpn-announce/?v...) корректирующие выпуски пакета для создания виртуальных частных сетей OpenVPN 2.3.6 (http://openvpn.net/index.php/download/community-downloads.html), 2.2.3 и 2.0.11, в которых устранена уязвимость (https://community.openvpn.net/openvpn/wiki/SecurityAnnouncem...) (CVE-2014-8104), позволяющая инициировать отказ в обслуживании сервера через отправку специально оформленного запроса. Проблема затрагивает все версии OpenVPN, выпущенные с 2005 года.
Особую опасность уязвимость представляет для публичных серверов OpenVPN, так как атакующий может легко вывести их из строя - для краха серверного процесса пользователю, имеющему доступ через аутентифицированный TLS-сертификат, достаточно отправить на сервер слишком короткий пакет TLS с типом P_CONTROL_V1 (например, проблеме подвержены VPN-службы, которые публично распространяют TLS-сертификаты для доступа к сервису, а для контроля доступа используют связку логин/пароль).
URL: http://sourceforge.net/p/openvpn/mailman/openvpn-announce/?v...
Новость: http://www.opennet.me/opennews/art.shtml?num=41172
>инициировать отказ в обслуживанииНу это не так страшно. Лучше сегфолт, чем некорректный результат.
А если исправлено, так и вовсе хорошо.
К вопросу зачем нужен авторестарт сервисов :). Вот так в автопилоте прилетит подобный пакет, даже может не злонамеренно, а в результате какого-нибудь глюка...
> К вопросу зачем нужен авторестарт сервисов :). Вот так в автопилоте прилетит
> подобный пакет, даже может не злонамеренно, а в результате какого-нибудь глюка...а потом ещё рестарт, и ещё рестарт, а потом место на диске кончится от рестартов или в какой-нить лимит рестарты упрутся, при этом ничего так и не заработает.
> а потом ещё рестарт, и ещё рестарт,Поэтому в нормальных запускалках есть лимит на число рестартов в единицу времени.
> а потом место на диске кончится от рестартов
> или в какой-нить лимит рестарты упрутся,Только у криворуких адмиов. На таких всяко ресурсную атаку сделать не особо сложно - у таких почти наверняка какой-нибудь апач в дефолтном виде окажется рядом :).
> при этом ничего так и не заработает.
Дай дypaку стеклянный х... :)
>К вопросу зачем нужен авторестарт сервисовты что?! для рестарта сервисов существует должность "системный администратор"! ты что, хочешь, чтобы люди работу потеряли?!!1
Риторический вопрос: а для чего существуешь ты?
> К вопросу зачем нужен авторестарт сервисов :). Вот так в автопилоте прилетит
> подобный пакет, даже может не злонамеренно, а в результате какого-нибудь глюка...О сколько нам открытий чудных готовит просвещенья дух.
Прилетит подобный пакет, сервис упадёт, администратор увидит аварию, установит исправленную версию и запустит снова, так зачем нужен авторестарт?
чтобы поднимать обратно ssh и туннель для доступа администратора. Ваш К.О. Авторестарт полезная штука, если по-простому делать, то daemon tools хватит, если хочется больше красивостей и контроля, то monit.
какое отношение ssh имеет к вопросу? вы туннель в туннель суёте?
> какое отношение ssh имеет к вопросу?К вопросу об автоматическом перезапуске _сервисов_. ssh является сервисом.
> так зачем нужен авторестарт?Чтобы админ это увидел по логам. А не проснувшись в пять утра в холодном поту от звонка телефона "Шеф, все пропало!".
DoсerVPN чем плох?
> DoсerVPN чем плох?Оплата рекламы - в соседнем окошке. У Жедитоба уточни - он там по три раза в неделю тусуется.