The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск OpenVPN 2.3.6, 2.2.3 и 2.0.11 с устранением уязвимости

02.12.2014 18:25

Представлены корректирующие выпуски пакета для создания виртуальных частных сетей OpenVPN 2.3.6, 2.2.3 и 2.0.11, в которых устранена уязвимость (CVE-2014-8104), позволяющая инициировать отказ в обслуживании сервера через отправку специально оформленного запроса. Проблема затрагивает все версии OpenVPN, выпущенные с 2005 года.

Особую опасность уязвимость представляет для публичных серверов OpenVPN, так как атакующий может легко вывести их из строя - для краха серверного процесса пользователю, имеющему доступ через аутентифицированный TLS-сертификат, достаточно отправить на сервер слишком короткий пакет TLS с типом P_CONTROL_V1 (например, проблеме подвержены VPN-службы, которые публично распространяют TLS-сертификаты для доступа к сервису, а для контроля доступа используют связку логин/пароль).

  1. Главная ссылка к новости (http://sourceforge.net/p/openv...)
  2. OpenNews: Увидел свет OpenVPN 2.3.0
  3. OpenNews: Опасная уязвимость в реализациях LZO/LZ4, затрагивающая ядро Linux, FFmpeg, OpenVPN и другие проекты
  4. OpenNews: Релиз OpenVPN 2.2.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/41172-openvpn
Ключевые слова: openvpn
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 19:01, 02/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >инициировать отказ в обслуживании

    Ну это не так страшно. Лучше сегфолт, чем некорректный результат.
    А если исправлено, так и вовсе хорошо.

     
  • 1.2, Аноним (-), 19:12, 02/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К вопросу зачем нужен авторестарт сервисов :). Вот так в автопилоте прилетит подобный пакет, даже может не злонамеренно, а в результате какого-нибудь глюка...
     
     
  • 2.3, Аноним (-), 20:59, 02/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > К вопросу зачем нужен авторестарт сервисов :). Вот так в автопилоте прилетит
    > подобный пакет, даже может не злонамеренно, а в результате какого-нибудь глюка...

    а потом ещё рестарт, и ещё рестарт, а потом место на диске кончится от рестартов или в какой-нить лимит рестарты упрутся, при этом ничего так и не заработает.

     
     
  • 3.7, Аноним (-), 22:50, 02/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а потом ещё рестарт, и ещё рестарт,

    Поэтому в нормальных запускалках есть лимит на число рестартов в единицу времени.

    > а потом место на диске кончится от рестартов
    > или в какой-нить лимит рестарты упрутся,

    Только у криворуких адмиов. На таких всяко ресурсную атаку сделать не особо сложно - у таких почти наверняка какой-нибудь апач в дефолтном виде окажется рядом :).

    > при этом ничего так и не заработает.

    Дай дypaку стеклянный х... :)

     
  • 2.4, Нанобот (ok), 21:48, 02/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >К вопросу зачем нужен авторестарт сервисов

    ты что?! для рестарта сервисов существует должность "системный администратор"! ты что, хочешь, чтобы люди работу потеряли?!!1

     
     
  • 3.6, Гость (??), 22:07, 02/12/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Риторический вопрос: а для чего существуешь ты?
     
  • 2.5, EHLO (?), 22:05, 02/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > К вопросу зачем нужен авторестарт сервисов :). Вот так в автопилоте прилетит
    > подобный пакет, даже может не злонамеренно, а в результате какого-нибудь глюка...

    О сколько нам открытий чудных готовит просвещенья дух.

     
  • 2.9, Аноним (-), 02:17, 03/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Прилетит подобный пакет, сервис упадёт, администратор увидит аварию, установит исправленную версию и запустит снова, так зачем нужен авторестарт?
     
     
  • 3.10, anonymous (??), 03:38, 03/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    чтобы поднимать обратно ssh и туннель для доступа администратора. Ваш К.О. Авторестарт полезная штука, если по-простому делать, то daemon tools хватит, если хочется больше красивостей и контроля, то monit.
     
     
  • 4.11, Аноним (-), 08:54, 03/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    какое отношение ssh имеет к вопросу? вы туннель в туннель суёте?
     
     
  • 5.12, anonymous (??), 15:02, 03/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >  какое отношение ssh имеет к вопросу?

    К вопросу об автоматическом перезапуске _сервисов_. ssh является сервисом.

     
  • 3.14, Аноним (-), 02:07, 04/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > так зачем нужен авторестарт?

    Чтобы админ это увидел по логам. А не проснувшись в пять утра в холодном поту от звонка телефона "Шеф, все пропало!".

      

     

  • 1.8, Аноним (-), 01:09, 03/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    DoсerVPN чем плох?
     
     
  • 2.13, Led (ok), 22:35, 03/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > DoсerVPN чем плох?

    Оплата рекламы - в соседнем окошке. У Жедитоба уточни - он там по три раза в неделю тусуется.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру