Доступен выпуск strongSwan 5.9.10, свободного пакета для создания VPN-соединений на базе протокола IPSec, используемого в Linux, Android, FreeBSD и macOS. В новой версии устранена опасная уязвимость (CVE-2023-26463), которая может быть использована для обхода аутентификации, но потенциально также может привести к выполнению кода атакующего на стороне сервера или клиента. Проблема проявляется при проверке специально оформленных сертификатов в методах аутентификации EAP (Extensible Authentication Protocol) на базе TLS...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58736

• Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,InuYasha, 10:40 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 12:55 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,пох., 16:11 , 03-Мрт-23
    • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 18:35 , 03-Мрт-23
      • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,пох., 23:21 , 04-Мрт-23
• Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 10:42 , 03-Мрт-23
• Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Анони, 10:45 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,ryoken, 11:03 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 18:33 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 21:58 , 03-Мрт-23
• Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 11:08 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 11:14 , 03-Мрт-23
    • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 12:26 , 03-Мрт-23
    • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 18:38 , 03-Мрт-23
• Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Самый Лучший Гусь, 11:17 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 11:42 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 12:19 , 03-Мрт-23
    • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 12:26 , 03-Мрт-23
      • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 12:30 , 03-Мрт-23
      • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Michael Shigorin, 22:31 , 06-Мрт-23
    • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 12:39 , 03-Мрт-23
      • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 12:44 , 03-Мрт-23
        • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Анонимусс, 12:47 , 03-Мрт-23
          • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 12:53 , 03-Мрт-23
            • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,bOOster, 14:09 , 03-Мрт-23
              • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 15:38 , 03-Мрт-23
            • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 22:52 , 03-Мрт-23
        • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 16:04 , 03-Мрт-23
      • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Анонн, 12:48 , 03-Мрт-23
        • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Tron is Whistling, 12:54 , 03-Мрт-23
          • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 16:10 , 03-Мрт-23
          • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 16:15 , 03-Мрт-23
            • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,penetrator, 20:07 , 03-Мрт-23
            • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Sw00p aka Jerom, 21:12 , 03-Мрт-23
          • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,freecoder, 16:28 , 03-Мрт-23
            • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 16:50 , 03-Мрт-23
          • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 18:56 , 03-Мрт-23
            • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Tron is Whistling, 11:05 , 05-Мрт-23
            • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Michael Shigorin, 22:34 , 06-Мрт-23
    • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 22:45 , 03-Мрт-23
• Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,не придумал, 12:37 , 03-Мрт-23
• Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 12:40 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 15:15 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 16:01 , 03-Мрт-23
• Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 12:45 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноньимъ, 13:35 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 22:17 , 03-Мрт-23
• Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 13:49 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,HyC, 14:17 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,пох., 16:07 , 03-Мрт-23
    • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 16:42 , 03-Мрт-23
      • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,пох., 17:16 , 03-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 18:55 , 03-Мрт-23
    • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,пох., 22:59 , 03-Мрт-23
      • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Еще один Аноним, 23:53 , 03-Мрт-23
        • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,пох., 09:51 , 04-Мрт-23
          • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,ivan_erohin, 19:30 , 04-Мрт-23
            • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,пох., 23:14 , 04-Мрт-23
              • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,ivan_erohin, 07:00 , 05-Мрт-23
                • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Michael Shigorin, 22:38 , 06-Мрт-23
                  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,пох., 23:01 , 06-Мрт-23
                    • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,ivan_erohin, 04:09 , 07-Мрт-23
                  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,ivan_erohin, 04:34 , 07-Мрт-23
          • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,ivan_erohin, 19:57 , 04-Мрт-23
      • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 02:55 , 04-Мрт-23
      • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,пох., 09:38 , 04-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,timur.davletshin, 13:16 , 20-Авг-23
• Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 07:00 , 04-Мрт-23
  • Уязвимость в strongSwan IPsec, допускающая удалённое выполне...,Аноним, 15:41 , 04-Мрт-23

А вот это уже - довольно серьёзно. Пойду смотреть патчи на OpenWRT.

Вот только где их смотреть? В оф. репе не заметно.

Я бы на твоем месте пошел и просто снес с него шитшвайн. или как там оно называетсо.

(Вот твой недороутер под кроватью - вполне себе место для какого-нибудь воспетого местными  фанатиками wireguard. Поскольку рептилоиды за тобой не наблюдают, товарищмайор тоже вряд ли детектит без явного целеуказания, и  хостов у тебя явно не миллионы а один твой несчастный мобильник. И мест куда может засосать серьезную уязвимость у него гораздо меньше. А ipsec оставь инженерам или корпоративным админам. Они знают, зачем.)

Это точно, крайне смешат пузи-админы с ипсеками на говнокоробках. Патчи он пойдёт посмотрит, ути какой.

(на всяк случай - это не тебе, это ответ на удаленное взбесившимися цензорами)
как раз разница ваергада и опенчегонельзяназывать в том что первый на недороутере работает так же или даже более эффективно чем ipsec - меньше контекст-свитчей, проще алгоритмы, в целом оптимизирован лучше в ущерб универсальности, а второй может безбожно тормозить или вообще терять пакеты.

А ентерпрайз фичи топикстартеру явно без надобности, вряд ли у него в ike что-то кроме примитивного psk.

ну вот, а говорили , что PSK несекурно :-D

Вот те раз... Strongswan не такой уж и strong оказывается...

"Shit happens" :D

ShitSwan

Swongswan )

Никогда такого не было и опять выполнение произвольного кода.
Почему вместо веб-ма...ак они не наймут настоящих экспертов по Си с опеннет?

по расту же, сначала на расте безопасно чтоб написали, а потом на c переписали чтоб быстро.

Надо нанимать сразу на Карбоне. Того и глядишь к выходу языка кого-нибудь найдут.

В расте ZCA, к чему ты тут быстро приплел?

С in IpSec stands for Секурити

C in CVE stands for C language

Главное продолжать верить, что УБ не существует и святой компилятор раста от всего спасет
https://github.com/rust-lang/rust/issues/108453

Мне кажется ты не понимаешь того что вера не основывается на фактах.  

Очень сомнительное утверждение.

Вы сами-то в это верите?

И где здесь уб? Логический баг, скоро поправят. От них компилятор не защищает и растаманам это известно, в отличии от набрасывателей.

>И где здесь уб?
>undefined behavior after calling VecDeque::shrink_to
>Логический баг, скоро поправят.

Ну так и на Си - это логический баг, просто программист не ту функцию вызвал, перепутал знаки или что-то забыл. Да и исправляют всегда.

Так и с Си не проблема что знак перепутал или переменная переполнилась.
А то что потом записал за пределы массива, RCE, получение рута, кровь, кишки, ...

Такое и на расте можно. Через специально оформленные пакеты в cargo можно было системные файлы изменять.

Когда это ржавое добро в повсеместную эксплуатацию пойдет - мы такие залипухи увидим.....

Так оно и не пойдет никуда залипухи мы уже отлично видим.  

> Такое и на расте можно. Через специально оформленные пакеты в cargo

Эк ты поделил на 0.
Ну давай тогда все дыры в сборочных скриптах и инсталлерах сишных проектов к сишко-CVE приплюсуй
https://www.opennet.me/opennews/art.shtml?num=42354

Видимо такой же плюсовик зарепортил и назвал неправильно. Поведение было defined, но невалидное. Попробуйте ещё раз осознать разницу.

Уже поправили. 4 days ago
https://github.com/rust-lang/rust/pull/108475

assert_eq!(deque.into_iter().collect::<Vec<_>>(), vec![9, 10, 1, 2, 3]);

Мои глазья вытекают от этого счастья любителей символов.

Довольно быстро к ним привыкаешь. Можно было бы расписать в 3 строки, но сэкономили на компактной форме collect, для которого надо подсказывать тип контейнера(тут вектор чего угодно. Символ '_' много где в языке обозначает сматчить со всем). А восклицательный знак просто маркер макроса

Хз, все читаемо. Двустороннюю очередь собирают в целочисленный вектор и сравнивают ассертом с другим целочисленным вектором. Затыки с непривычки могут быть при чтении lifetime-ов, но привыкаешь быстро. Какая-нибудь Scala читается гораздо хуже.

конечно всё читаемо, вопрос только за сколько времени и в какой трезвозсти надо быть, и одна такая строчка или весь код

>Хз, все читаемо.

асм ваще прелесть :)

Можно было проще написать:

assert_eq!(Vec::from(deque), vec![9, 10, 1, 2, 3]);

растовики слишком любят турборыбу

Какая разница, как буковки выглядят? Ты что, гуманитарий?

Если тебе на один раз написать - разницы никакой.
А если это после тебя ещё кому-то читать и поддерживать...

Если что-то выглядит через задницу, оно и работает обычно так же.

> Главное продолжать верить, что УБ не существует и святой компилятор раста от всего спасет
> https://github.com/rust-lang/rust/issues/108453

Главное, продолжай верить что ты действительно нашел "УБ" и приводить эту ссылку и далее.

Другое дело существующий проект rsrongestSwing, который все мешают пилить вообще не имеет уязвимостей

Давно хотел спросить, а зачем относительно недавно авторы начали публиковать в новостях откровенную ложь про "публикацию обновлений можно отследить по ссылкам..." и дают ссылки на несуществующие страницы? Зачем это нужно? Качество новостей совсем скатилось в днище.

Конкретнее, какие именно ссылки не работают ?
У меня Arch не открылся

Если страницы нет, значит обновление ещё не выпущено. Для этого и ставят ссылки, чтобы понять когда появится обновление.

> buster (security)        vulnerable
> bullseye (security), bullseye    vulnerable

Debian, security, vulnerable
Haha, classic!

Зато стабильно!

bullseye (security), bullseye    5.9.1-1+deb11u3    fixed
проверено 3.03.2023 22:16

Только в openbsd ipsec настраивается легко и просто. В остальных OS-ях это какая-то наркомания.

Лично у меня никаких трудностей когда мне подгорело сделать VPN во время карантина со StrongSwan не возникало, и кроме манов я ничего не курил.

С чем ты, болезный, в винде не справился?

А вот подключить ее к тому что ты там легко и просто наг-някал в своей флопнибсд - ты не сможешь. Ну так и незачем.

К циске вот нормально подключается.

>А вот подключить ее к тому что ты там легко и просто наг-някал в своей флопнибсд - ты не сможешь. Ну так и незачем.

И незачем, не юзаю и винду, ни любую из *bsd. Просто к слову пришлось про простоту настройки ipsec в openbsd, относительно всего другого.

а, ну логичненько, чё - если им не пользоваться то настраивать очень просто.

(Если что - про винду это я не прикалывался. Там действительно просто - если на psk. Реально в пяток очевидных кликов, в два десятка - если чтоб один раз и на всю сеть. С сертификатами да, неприятно, статику не умеет, но в целом-то ей - и не надо.)

IPsec вообще везде настраивается легко и просто, где он есть. От цисок и жуниперов до линуксов и виндов. Сложности с ним совершенно в другом месте, и к операционным системам они никак не относятся.

ага, вообще как два пальца. Давай ты мне решишь задачку из телефонного (без консоли) собеседования на цискоинженера - две коробки, ипсек традиционным криптомапом на интерфейсе, тунель, ничего необычного, возникает матчащийся мапом пакет, ике проходит, дальше внезапно падает. И так по кругу. Что надо проверять первым делом?

ccnp security валились на этом вопросе только пух летел. Ребята без сертификатов но с опытом реальной работы отвечают не задумываясь.

Ну ах...еть очевидно ведь. (нет)

Когда не знаешь что проверять, читай логи и познаешь дзен.

Я тебе детально описал что при этом видно в логе. Ничего там не видно. Согласование прошло, должен вот уже подняться тунель, вместо этого хлоп и сессия рвется так и не установившись, тунель переходит в DOWN и все сначала по кругу. Обычно недоучки первым делом перевбивают psk (его несовпадение выглядит похоже но не точно так же) но он правильный. (у isr есть еще и с этим прикол, но это я не спрашивал - необязательно знать прикол конкретной коробки конкретной серии, а вот понимать что может быть и чего не должно - требуется)

Очень, очень характерная прям ситуация, кто на самом деле много раз настраивал а не в книжке прочитал - мгновенно дает правильный ответ. Но они уже наверное давно пиццей торгуют, поскольку были умные. А глупые остались тут - искренне веруя что включение всех логов их спасет. Ну и предлагают смотреть сразу все - то есть не знают что на самом деле может быть причиной. Успехов им "все" в энтерпрайзном конфиге с полсотней пиров и сложной конфигурацией и еще и ремота не твоя а компании партнера и ее конфиги и логи тебе пересказывает по телефону такой же самоуверенный бездарь "я всеправильнонастроел софтработаит, проблема на вашей стороне".

мое решение этой проблемы:
1) IPsec пинком на йух.
2) внедряем OpenVPN. его все знают.

> кто на самом деле много раз настраивал а не в книжке прочитал - мгновенно дает правильный ответ

ходить по одним и тем же граблям больше двух раз - себя не уважать.

за такое "решение" в месте где давно используют ipsec - найух отправляют очередного недоучку (обычно еще на этапе собеседования). И уж тем более - в месте где его по делу использут (пара сотен клиентов работающих с vdi на одну коробочку например, или кросс-ДЦ линк на пару хотя бы гигабит).

> внедряем OpenVPN. его все знают.

нихера вы не знаете.
Например с год назад тут вспоминали прекрасную его фичу, наличествующую наверное в 99.9% всех внедренных где надо и где не надо - любой пользователь может изобразить mitm и никто ничего не заметит.

Дай угадаю - ты не в курсе.

> за такое "решение" в месте где давно используют ipsec -

если они давно используют, то сами прошлись по всем граблям и сами все порешают.
в т.ч. проблемы с точным временем.

> - в месте где его по делу использут (пара сотен клиентов
> работающих с vdi на одну коробочку например, или кросс-ДЦ линк на
> пару хотя бы гигабит).

чего мелочиться - пишите "терабит", пусть ламо испугается.
"энерпрайз" и "индустри" здесь уже никто не боится (я надеюсь).

>> внедряем OpenVPN. его все знают.
> нихера вы не знаете.

А ТО ! "Джон Сноу" мое второе имя.

> вспоминали прекрасную его фичу, наличествующую наверное в
> 99.9% всех внедренных где надо и где не надо - любой
> пользователь может изобразить mitm и никто ничего не заметит.

1) с обновлением версий фича уйдет. кто не обновляет тот ССЗБ.
2) заложенное в IPsec американским КГБ останется навсегда.
2.1) прошивки на цисках так просто не обновляются.
3) кстати ! откуда у вас циски с криптоускорителями, ась ? не нарушили ли вы и/или ваш поставщик случайно парочку постанов ФСТЭК от 666 года эпохи еще Эльцына и раннего Утина ? их никто не отменял. давайте поднимем ваши ТД и проверим - что там написано и что реально ввезено.

Лучше попробуйте выспросить -- хотя бы ради клиентов.

Клиент, нанимающий полуграмотного самоуверенного не по уму исполнителя - сам виноват и его совершенно не жалко.

Тут наш народ так прекрасно гармонирует с природой, что в этом ничего не надо менять.

> Клиент, нанимающий полуграмотного самоуверенного не по уму исполнителя

когда вы последний раз обновляли IOS на цисках под своим управлением ?

это типичная азиатская "загадка", на которую надо заранее знать ответ.

проблема - точное время, вероятность 70%.

> Что надо проверять первым делом?

Первым делом надо проверить не звиздит ли пох. А потом уже включать дебажный лог и в конфиги смотреть на обеих сторонах — фаервол, psk, сайфер, pfs, рекей, и так далее.

ну вот, два горе-эксперта опеннета показательно расписались в том что не умеют и ни разу не настраивали ничего кроме может копипасты с форумцискоком, но скорее всего и она у них не работала.

libreswan на Linux тоже просто настраивается и даже работает. Но про него даже на OpenNet новостей не постят... StrongSwan - смертоубийство, особенно в старых версиях.

Язык программирования Си. Ясно понятно.

Выкинь весь софт на C и C++ (оно ж тоже дырявое), и живи, если сможешь.