URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 111223
[ Назад ]

Исходное сообщение
"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено opennews , 12-Май-17 10:06

Сформирован (https://openvpn.net/index.php/open-source/downloads.html) корректирующий выпуск пакета OpenVPN 2.4.2, в состав которого вошли исправления, устраняющие проблемы, выявленные в результате независимого аудита механизмов шифрования. Одновременно опубликован (https://ostif.org/the-openvpn-2-4-0-audit-by-ostif-and-quark.../) отчёт с раскрытием деталей (https://ostif.org/wp-content/uploads/2017/05/OpenVPN1.2final...) аудита. Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась (https://www.opennet.me/opennews/art.shtml?num=45333) для аудита проекта  VeraCrypt.

На основании выработанных в ходе проверки рекомендаций в OpenVPN 2.4.2 внесено семь исправлений:  устранена одна опасная проблема, одна уязвимость средней степени опасности и пять несущественных недоработок. В частности, исправлены следующие уязвимости:

-  CVE-2017-7478 (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-7478)  - аутентифицированый пользователь может инициировать отказ в обслуживании VPN-сервера через отправку слишком большой порции данных в пакете P_CONTROL. Из-за простоты проведения атаки проблеме присвоен высокий уровень опасности. Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме не подвержены;
-  CVE-2017-7479 (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-7479) - аутентифицированый пользователь может вызвать крах OpenVPN через переполнение счётчика пакетов Packet-ID. Для совершения атаки нужно отправить несколько сотен гигабайт данных.

URL: https://ostif.org/the-openvpn-2-4-0-audit-by-ostif-and-quark.../
Новость: http://www.opennet.me/opennews/art.shtml?num=46538

Содержание

Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,X3asd, 10:06 , 12-Май-17
- Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,F, 10:21 , 12-Май-17
- Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,Anonplus, 14:05 , 12-Май-17
  - Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,Anonplus, 14:09 , 12-Май-17
    - Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,X3asd, 16:18 , 12-Май-17
  - Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,user455, 18:59 , 15-Май-17
- Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,Аноним, 15:02 , 12-Май-17
- Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,Харли, 06:32 , 15-Май-17
Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,sage, 10:50 , 12-Май-17
- Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,X3asd, 16:16 , 12-Май-17
Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,mumu, 15:30 , 12-Май-17
- Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,Аноним, 16:23 , 13-Май-17
  - Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,Аноним, 18:08 , 13-Май-17
    - Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,Аноним, 19:13 , 13-Май-17
- Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б...,t28, 16:21 , 14-Май-17

Сообщения в этом обсуждении

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено X3asd , 12-Май-17 10:06

> переполнение счётчика пакетов Packet-ID. Для совершения атаки нужно отправить несколько сотен гигабайт данных
не так уж и много..
жесть что разработчики сами не догадались что кто-то может *действительно* использовать openvpn-соединение -- для дел (передавать через соединение сотни гогобайт полезных данных), а не подключиться на 3 минуты ради пары лулзов (пару сообщений на форумы)..

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено F , 12-Май-17 10:21

Вы, уважаемый, не говорите за разрабов, тем более такие фантазии. OpenVPN в проде стоит годами, и опыт накоплен - а "может вызвать" и "всегда вызывает" все же разные вещи.

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено Anonplus , 12-Май-17 14:05

Возможно, там надо передать очень много сотен гигабайт за сессию. Учитывая, что OpenVPN чудовищно режет скорость:
"Предположим, вы подключаетесь к серверу в США из России через OpenVPN со стандартными значениями буферов сокета. У вас широкий канал, скажем, 50 МБит/с, но в силу расстояния, пинг составляет 100 мс. Как вы думаете, какой максимальной скорости вы сможете добиться? 5.12 Мбит/с."
пруф: https://habrahabr.ru/post/246953/)
это может быть сложной задачей (сессия окончена/порвалась - баг не случился).

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено Anonplus , 12-Май-17 14:09

Для тех, кому лень читать по ссылке: изменение размера буферов по умолчанию позволило поднять скорость по UDP с 30 до 80 мегабит. В 2,5 раза, Карл на ровном месте.

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено X3asd , 12-Май-17 16:18

> Для тех, кому лень читать по ссылке: изменение размера буферов по умолчанию
> позволило поднять скорость по UDP с 30 до 80 мегабит. В
> 2,5 раза, Карл на ровном месте.
это всем-известная проблема -- и конено же в старых версиях openvpn в конфигах люди меняли размеры этих буфферов

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено user455 , 15-Май-17 18:59

> Учитывая, что OpenVPN чудовищно режет скорость:
на tcp соединении с некорректными mss

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено Аноним , 12-Май-17 15:02

Несколько сотен гигабайт данных — это, как я понимаю, имеются в виду пакеты без полезной нагрузки. А при отправке полезных данных будут уже, наверное, десятки терабайт.

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено Харли , 15-Май-17 06:32

Аналитик или ТП делает в УЯх select * from ... и получает те самые гиги как из пушки, со всеми вытекающими.

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено sage , 12-Май-17 10:50

>Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме не подвержены
Нет, они тоже подвержены проблеме, но злоумышленнику нужно иметь tls-auth или tls-crypt-ключ. Например, если это публичный VPN, то такие ключи у злоумышленника будут.

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено X3asd , 12-Май-17 16:16

>> Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме
> не подвержены
>
> Нет, они тоже подвержены проблеме, но злоумышленнику нужно иметь tls-auth или
> tls-crypt-ключ. Например, если это публичный VPN, то такие ключи у злоумышленника будут.
в новости сказано что уязвимость доступна для *аутентифицированного* пользователя...
как считаешь если пользователь уже прошёл аутентифицикацию -- может ли быть такого что у него не оказалось каких-то-там tls-auth-ключей?
если tls-auth-ключа нет -- то даже до аутентификации дело дойти не может

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено mumu , 12-Май-17 15:30

OpenConnect пока не проверяли?

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено Аноним , 13-Май-17 16:23

кому нужно местечковое подельице в ещё непроверенных пучинах опенсорца?

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено Аноним , 13-Май-17 18:08

Ну да, троян - предпочтительнее.

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено Аноним , 13-Май-17 19:13

Ну куда ты зарываешься-то? Опенконнект это клиент для никому ненужного эниконнекта и жуноса пульза, и тут ты его прям равняешь с опенвпном, который нынче чуть ли не центр индустрии самодельного впна. Ненадо так.

"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..."
Отправлено t28 , 14-Май-17 16:21

> OpenConnect пока не проверяли?
Было бы неплохо. %)