The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

15.01.2018 23:12  В SoftEther VPN найдено 11 уязвимостей

Гвидо Вренкен (Guido Vranken), в своё время выявивший несколько опасных уязвимостей в различых реализациях SSL/TLS и в OpenVPN, опубликовал результаты аудита мультипротокольного открытого VPN-сервера SoftEther. В ходе 80-часового исследования кода и fuzzing-тестирования в проекте было выявлено 11 уязвимостей. Разработчики SoftEther VPN оперативно выпустили обновление 4.25 Build 9656, в котором устранили обнаруженные проблемы.

Семь уязвимостей были вызваны отсутствием должных проверок и могут привести к переполнению буфера. По предварительной оценке данные уязвимости проблематично использовать для создания эксплоитов для выполнения кода атакующего, но можно применять для инициирования краха серверного процесса. 4 уязвимости вызваны утечками памяти и могут привести к исчерпанию доступной процессу памяти.

  1. Главная ссылка к новости (https://guidovranken.wordpress...)
  2. OpenNews: VPN-сервер SoftEther VPN открыт под лицензией GPLv2
  3. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  4. OpenNews: Завершён аудит проекта OpenVPN
  5. OpenNews: Уязвимость в OpenVPN, которая может привести к выполнению кода на сервере
  6. OpenNews: Обновление OpenVPN 2.4.4 с устранением уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: softether, vpn
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Аноним (-), 23:27, 15/01/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +16 +/
    1 человек за 80 часов нашел 11 уязвимостей, мдаа... Что можно сделать за месяц с группой толковых ребят. И так во всем софте?
     
     
  • 2.4, trolleybus (?), 23:34, 15/01/2018 [^] [ответить]    [к модератору]
  • +9 +/
    В проприетарщине точно не так (там либо не найдут, либо не исправят).
     
  • 2.7, анон (?), 23:41, 15/01/2018 [^] [ответить]    [к модератору]
  • +2 +/
    вполне возможно, что он нашел 90% того что есть
     
     
  • 3.49, Аноним (-), 13:52, 16/01/2018 [^] [ответить]    [к модератору]
  • –1 +/
    Вряд ли больше 10%.
     
  • 3.67, Аноним (-), 00:10, 17/01/2018 [^] [ответить]     [к модератору]
  • +/
    Это врядли SoftEther огроменный И врядля там програмеры сильно лучше чем в ост... весь текст скрыт [показать]
     
  • 2.12, irinat (ok), 00:07, 16/01/2018 [^] [ответить]    [к модератору]  
  • +9 +/
    Их ещё надо найти, этих толковых ребят. И как-то замотивировать работать над проектом.

    > Три самых лучших в отладке программиста смогли найти дефекты примерно в 3 раза быстрее и внесли в код примерно в 2,5 раза меньше дефектов, чем три худших. Самый лучший программист обнаружил все дефекты и не внес во время их исправления новых. Самый худший не нашел 4 из 12 дефектов, а при исправлении 8 обнаруженных дефектов внес в код 11 новых.

     
     
  • 3.47, Fantomas (??), 13:13, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    А также можно демотивироваться, для этого есть демотиваторы.
     
  • 3.65, Аноним2 (?), 21:18, 16/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Убийца - садовник
     
  • 2.16, 1 человек за 80 часов (?), 01:48, 16/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    т е насчет толковых ребят правда, а насчет принципа работы - нет... весь текст скрыт [показать]
     
  • 2.17, pavard (ok), 01:59, 16/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    написано же - фузи-тестрирование. для его автоматизации существует куча софта. ничего необычного.
     
  • 2.36, пох (?), 09:28, 16/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    из которых ни одна не exploitable Хороший, оказывается, код у softether, очень ... весь текст скрыт [показать]
     
     
  • 3.64, Аноним (-), 20:33, 16/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Где ты такое прочитал ... весь текст скрыт [показать]
     
  • 2.39, pda (?), 10:08, 16/01/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Одна женщина за 9 месяцев вынашивает ребёнка Представляете, что можно сделать с... весь текст скрыт [показать]
     
     
  • 3.42, пох (?), 12:23, 16/01/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    ну, если не ставить условие за один месяц , можно наплодить гораздо больше пуше... весь текст скрыт [показать]
     
  • 2.59, Dizit (?), 15:57, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    В Роспомпозоре сидят сотни "толковых" ребят - никак не могут заблокировать Рутрекер. :)
     
  • 2.73, rewwa (ok), 23:30, 29/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > 1 человек за 80 часов нашел 11 уязвимостей, мдаа... Что можно сделать
    > за месяц с группой толковых ребят. И так во всем софте?

    Во всем, поскольку никакой софт не может быть идеальным

     
  • 1.3, Аноним (-), 23:32, 15/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В принципе неплохо, ничего сверхсерьезного.
     
  • 1.5, Вадим (??), 23:39, 15/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +10 +/
    А что лучше?

    OpenVPN vs WireGuard vs SoftEtherVPN

     
     
  • 2.6, Аноним (-), 23:40, 15/01/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    У SoftEtherVPN есть SSL
     
     
  • 3.8, Аноним (-), 23:42, 15/01/2018 [^] [ответить]    [к модератору]  
  • +/
    а у остальных?
     
     
  • 4.62, Аноним (-), 18:25, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    У openvpn нет маскировки через SSL.
    Для этого используется stunnel.
    У WireGuard не знаю.
     
  • 3.20, Аноним (-), 02:45, 16/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    vs SSTP?
     
  • 3.56, Аноним (-), 15:54, 16/01/2018 [^] [ответить]     [к модератору]  
  • +/
    А у остальных он не знает Я копал определенные части кода openvpn и в некоторых... весь текст скрыт [показать]
     
     
  • 4.63, Аноним (-), 18:27, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    А что там с DNS?
    Запросы можно завернуть или в dnscrypt или в tor.
     
  • 2.10, Аноним (-), 23:45, 15/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Я бы добавил ещё GoVPN, он умеет лить случайные данные, чтобы замаскировать изменения количества передаваемых данных.

    Если важна скорость, то WireGuard.

     
  • 2.11, Впнщик (?), 23:54, 15/01/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    1.WireGuard 2.SoftEtherVPN 666.OpenVPN
     
     
  • 3.13, Аноним (-), 00:36, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Где бы пруфца почитать, статеек там всяких?
     
  • 3.24, лютый жабист__ (?), 05:50, 16/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >1.WireGuard 2.SoftEtherVPN 666.OpenVPN

    0. ssh tunnel

     
     
  • 4.57, Dizit (?), 15:55, 16/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    SSH это вообще сила. Любой айтишник должен знать SSH вдоль и поперек, тем более в такие темные времена как наше...
     
  • 2.30, ACCA (ok), 08:14, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > А что лучше?
    > OpenVPN vs WireGuard vs SoftEtherVPN

    Смотря для чего - я предпочитаю tinc. Если хочется mesh, то выбор небольшой.

     
  • 2.33, Аноним (-), 08:55, 16/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Когда уж нормальную (или хоть какую) веб морду к SoftEtherVPN запилят? Доколе?!! Ведь опенсорс проэкт же! А управлялка им нормальная только под винду!!!
     
     
  • 3.43, Аноним (-), 12:25, 16/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    К чему именно Там ведь клиент, сервер, а еще к клиенты плагин В Винде реализов... весь текст скрыт [показать]
     
  • 2.46, Аноним (-), 13:01, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Сравнение - https://xakep.ru/2016/10/07/vpn-review/
     
  • 2.71, Tonchik (?), 14:47, 22/01/2018 [^] [ответить]    [к модератору]  
  • +/
    SoftEtherVPN:
    достаточно сильная интеграция с AD для Enterprise и GUI клиент, и из коробки поддержка стандартных(!!!) VPN клиентов мобильных устройств.
    Очень адекватный собственный клиент.
     
  • 1.14, Linken (?), 00:43, 16/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +10 +/
    Кто объяснит - почему в OpenVPN нет такой фундаментальной и наиважнейшей вещи как KillSwitch? Почему он не встроен в консольный клиент? Почему в сети десятки костылей на тему как замутить KillSwitch под Linux самому (ведь 99% всех VPN-провайдеров один хер свои десктопные клиенты и KillSwitch делают только под Win/Mac, а линуксоид должен колбаситься, хотя деньги платит те же самые)? Нормальное встроенное решение, а не костыли хотелось бы. Допустим я не сисадмин, и я не могу быть на 100% уверен, что то или иное решение даст мне мгновенный обрыв основного канала при потере VPN-соединения, что ни байта не проскочит через основной канал, что никаких сливов не будет - ну как простой пользователь может быть в этом уверен? Почему так сложно встроить KillSwitch в OpenVPN-клиент?

    Как с этим у WireGuard / SoftEtherVPN?

     
     
  • 2.15, LinkedIn (?), 01:19, 16/01/2018 [^] [ответить]    [к модератору]  
  • –5 +/
    Если ты параноик, тебе VPN не нужен. На VPN сервере весь твой трафик до последнего байта видно. Для твоих задач подходит Tor.
     
     
  • 3.22, Аноним (-), 05:42, 16/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Вот не надо менять тему, пожалуйста, и замыливать проблему. Вопрос о другом был.
     
     
  • 4.60, Аноним (-), 15:59, 16/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Вопрос плохой, т.к. вы ждете решение в виде кривого костыля. Все решается штатными средствами надежно и без сраных киллсвитчей. Надо просто подумать.
     
  • 2.23, Аноним (-), 05:49, 16/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Не буду гадать почему нет Жалко, что нет На базе linux решение видится мне на ... весь текст скрыт [показать]
     
     
  • 3.25, a (??), 06:13, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Да уж, а не проще замутить через метрики маршрутов, даже под виндой работать будет.
     
     
  • 4.27, хрюзер (?), 07:54, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    >  Да уж, а не проще замутить через метрики маршрутов, даже под виндой работать будет.

    можете привести пример?

     
     
  • 5.32, a (??), 08:30, 16/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Вешаем метрику 50 для автоматически получаемого шлюза Добавляем статический мар... весь текст скрыт [показать]
     
     
  • 6.38, хрюзер (?), 09:49, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    спасибо
     
  • 3.40, Аноним (-), 12:10, 16/01/2018 [^] [ответить]     [к модератору]  
  • +/
    В принципе правильно, но вот есть вопрос при большом количестве VPN, как наприме... весь текст скрыт [показать]
     
     
  • 4.58, none_first_ (?), 15:56, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    может через cgroups? https://habrahabr.ru/post/274445/
     
  • 2.26, EHLO (?), 06:35, 16/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Это бессмысленно, если использовать OpenVPN по назначению, то есть как VPN, а не... весь текст скрыт [показать]
     
     
  • 3.28, хрюзер (?), 07:59, 16/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Фактически, да Доступ контроллируется фаерфолом Это как якобы проблемы с NAT... весь текст скрыт [показать]
     
  • 2.29, ACCA (ok), 08:05, 16/01/2018 [^] [ответить]     [к модератору]  
  • –9 +/
    Потому, что KillSwitch - дeбильный костыль для виндомакаков Хочешь default толь... весь текст скрыт [показать]
     
     
  • 3.45, Аноним (-), 12:52, 16/01/2018 [^] [ответить]     [к модератору]  
  • –6 +/
    Да этот персонаж видимо из плеяды поклонников журнала хакер ру Отсюда и мудовые... весь текст скрыт [показать]
     
  • 3.50, Аноним (-), 13:55, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Как в роутере убрать "тот, что тебе подсунул провайдер"??
     
     
  • 4.68, ACCA (ok), 00:59, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Как в роутере убрать "тот, что тебе подсунул провайдер"??

    Включить static routing.

     
  • 2.35, anomymous (?), 09:09, 16/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    iptables отменили?
     
     
  • 3.41, Аноним (-), 12:14, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Когда правила пишешь, нужно понимать что делаешь.
    В этом то и загвоздка для пользователей.
     
  • 2.51, sage (??), 14:16, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Потому что мало кому нужно, это не совсем целевое использование VPN.
    Консольный OpenVPN в Linux даже самостоятельно DNS менять в /etc/resolv.conf не умеет, а прибегает, чего уж там.
    Есть желание — доделайте. Много идей, мало разработчиков и реальных дел.
     
     
  • 3.52, sage (??), 14:18, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    *а прибегает к внешнему скрипту*
     
  • 1.72, Аноним (-), 03:40, 28/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ip ro add 0/1 via x.x.x.x(vpn gate)
    ip ro add 128/1 via x.x.x.x(vpn gate)
    ip ro add x.x.x.x(ext vpn ip)/32 via x.x.x.x(dafault isp gate) dev eth0(например)

    Это для примера.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor