https://opennet.ru/openforum/vsluhforumID3/112349.html Сформированы (https://sourceforge.net/p/openvpn/mailman/message/36054607/) корректирующие выпуски пакета для создания виртуальных частных сетей OpenVPN 2.3.18 и 2.4.4 (http://openvpn.net/index.php/open-source/downloads.html), в которых устранена уязвимость (https://guidovranken.wordpress.com/2017/09/27/one-more-openvpn-vulnerability-cve-2017-12166/) (CVE-2017-12166 (https://community.openvpn.net/openvpn/wiki/CVE-2017-12166)), которая может привести к удалённому переполнению буфера и выполнению кода злоумышленника. Для большинства пользователей проблема не представляет опасности, так как проявляется только при явном включении в настройках режима "key method 1", который давно помечен как устаревший (использовался в OpenVPN 1.x, отключен по умолчанию начиная с 2005 года (https://www.opennet.ru/opennews/art.shtml?num=5353) и запланирован к удалению в ветке OpenVPN 2.5).<br><br><br>Кроме того, в новой версии представлена большая порция разноплановых мелких исправлений и устранена специфичная для Windows уязвимость (http https://opennet.ru/openforum/vsluhforumID3/112349.html#36 Tue, 03 Oct 2017 00:28:24 GMT Ну в том и проблема, что ты делаешь выводы после чтения дяди. Попробуй читать нескольких разных дядь для начала. Потом попробуй в чем-то разобраться сам. Это если ты хочешь про дядь. А каким образом тебя у тебя разговор про объем перетекает в дядь большой вопрос.<br><br>"Странно что ты не критиканишь винду. Что, продажи портятся, критика дорогая? А тут продажи не страдают - можно и покритиканить?" Вот это кривляние разве не призыв критиковать винду? Может быть это призыв её хвалить?<br><br>&gt; Ты, вообще, в своём уме?<br>&gt; У меня такой же вопрос<br><br>И как ты себе на него отвечаешь?<br> https://opennet.ru/openforum/vsluhforumID3/112349.html#35 Sun, 01 Oct 2017 09:28:12 GMT &gt; Да, я заметил, что ИБ.<br><br>видимо, по неумению пользоваться grep и shell escapes, а так же невладению английским на школьном уровне? ;-)<br><br> https://opennet.ru/openforum/vsluhforumID3/112349.html#34 Sat, 30 Sep 2017 16:03:11 GMT &gt; деньги, скорее всего, нереален (а за неразумное бесполезен - <br><br>Поэтому гугл и мозила объявили награду и многие баги им стали заносить горяченькими на блюдечке. Тоже вариант.<br><br>&gt; А с openvpn - и скорость гoвнокодинга в сотни раз меньше, и размер этого кода.<br><br>Однако код в целом достаточно жирный и наворачивают его достаточно активно. Поскольку ресурсов у них меньше, проблема остается.<br><br>&gt; Вполне можно было аккуратно его просмотреть.<br><br>Чтобы такой объем кода аккуратно просматривать - надо все каверити припахать и периодически повторять. И даже так что-нибудь может проскочить.<br><br>&gt; (тем более, что кто-то все же это сделал, только денег дали за это не ему ;-)<br><br>А может и ему. Откуда ты знаешь что все блэкхэты на черном рынке делают?<br><br>&gt; ну а как иначе-то? Это как раз базовое требование - заманаешься ты <br>&gt; вручную тыще-двум юзерам пароли выписывать и следить, кого из них уволили,<br><br>Ну тогда и баги в комплекте уж извольте. Тут уж или простое и безглючное, или нафиченое но извольте баги собирать.<br> <br>&gt; и норм https://opennet.ru/openforum/vsluhforumID3/112349.html#33 Sat, 30 Sep 2017 14:12:33 GMT &gt; Тсс, Карпова призовёшь!<br><br>Слушаю и повинуюсь, &#8211; скрипнул зубами несправедливо оскорбленный джинн. (c)<br> https://opennet.ru/openforum/vsluhforumID3/112349.html#32 Sat, 30 Sep 2017 14:10:07 GMT Тот-кого-нельзя-называть, просто хочет оставить маленький комментарий<br><br>&gt; ты будешь смеяться, но долбаться он будет прежде всего со своим кодом, переделывая его так, чтобы свести количество срабатываний к нулю. Тяжелая и нудная работа (хотя и весьма полезная). Без нее просто бестолку связываться с pvs, и с конкурентами тоже. Можно разово прогнать (это-то бесплатно), наковырять пару ошибок, и гордиться собой, но это совершенно не означает что еще пара сотен не осталась в коде, или не будет внесена прямо сейчас. Оно тебе об этом даже сообщает, но в куче срабатываний, вызванных просто неаккуратным кодом, ты этого не заметишь.<br><br>Есть ещё один вариант. Отложить существующие баги на потом, и анализировать для начала только новый код. Это не подходит, если речь идёт о поисках потенциальных уязвимостей. В этом случае неважно, старый баг или новый. Но с точки зрения легкого начала использования - очень хороший вариант. Старые ошибки, как правило не так существенны, как новые (работает ведь как-то, я серьезное уже исп https://opennet.ru/openforum/vsluhforumID3/112349.html#31 Sat, 30 Sep 2017 10:44:51 GMT &gt; В palemoon кода больше. А в мозильском движке никогда не было недостатка в vuln-ах btw.<br><br>ну вот это уже тот размер, когда аудит за разумное время и деньги, скорее всего, нереален (а за неразумное бесполезен - пока ты копаешься с версией 56, обезьянки наблямцали по клавиатурам еще с полсотни мег непроверенного кода, можно начинать заново).<br>А с openvpn - и скорость гoвнокодинга в сотни раз меньше, и размер этого кода.<br>Вполне можно было аккуратно его просмотреть. (тем более, что кто-то все же это сделал, только денег дали за это не ему ;-)<br><br>&gt; Энтерпрайзные клиенты хотели чтобы оно парило, жарило и крестиком вышивало. <br><br>ну а как иначе-то? Это как раз базовое требование - заманаешься ты вручную тыще-двум юзерам пароли выписывать и следить, кого из них уволили, кого в другой отдел перевели и надо срочно менять ему доступы (вместе с гейтом, если vpn совсем примитивный). Правда, они бы еще и нормальное разделение привиллегий хотели, а не ту имитацию, что позволяет только весь код целиком запустить как виндовы https://opennet.ru/openforum/vsluhforumID3/112349.html#30 Fri, 29 Sep 2017 22:59:16 GMT &gt; Для тебя, надо понимать большой. Для него небольшой. Дальше?<br><br>Дальше смотрим на другие vpn, сравниваем, делаем выводы. Читаем дядюшку DJB на тему того что такое уязвимости и откуда они берутся. Делаем выводы.<br><br>&gt; Скорее ты смешной тип. Топик про OpenVPN, а ты _требуешь_ от других <br>&gt; людей критиковать винду.<br><br>Это где это я такое потребовал? Я всего лишь заметил что 70К офисных планктонин выпускают продукт с vuln-ами, несмотря на гигантское превосходство в человекогодах.<br><br>&gt; Ты, вообще, в своём уме?<br><br>У меня такой же вопрос.<br> https://opennet.ru/openforum/vsluhforumID3/112349.html#29 Fri, 29 Sep 2017 22:56:42 GMT &gt; а что, сравнимо с той же palemoon? (сорцы - смотрел, ага) <br><br>В palemoon кода больше. А в мозильском движке никогда не было недостатка в vuln-ах btw.<br><br>&gt; стесняюсь спросить -а что вообще делает это дофига кода, если другие vpn <br>&gt; без него обходятся<br><br>Энтерпрайзные клиенты хотели чтобы оно парило, жарило и крестиком вышивало. Теперь список опций не умещается на мой экран, уступая разве что ffmpeg.<br><br>&gt; (и иногда, при этом, совместимы с openvpn - <br>&gt; см странную поделку университета цукубы)?<br><br>Ты размер цуки видел? Еще более жирный vpn. А революцию по багам на kloc они врядли смогли. Там куча протоколов впн и оно тоже энтерпрайзное. У них обоих есть навороты для энтерпрайзного управления и всего такого, корпоративщики и коммерческие хостинги очень просили.<br><br>&gt; шифрование при этом используется готовое,<br><br>Думаешь, програмеры среднего пошиба смогут лучше?<br><br>&gt; tun/tap драйвер тоже готовый.<br><br>Актуально только для винды, у которой для этого почему-то не сложилось апи. У остальных tun/tap давно часть системы. Но https://opennet.ru/openforum/vsluhforumID3/112349.html#28 Fri, 29 Sep 2017 10:06:41 GMT &gt; Ты вообще сорец openvpn видел? Впн может быть в 50 раз проще. <br>&gt; Но openvpn покусал энтерпрайз. Он даже после 10 аудитов будет с <br><br>их недопрочитанная книжка по ipsec'у покусала - они хотели сделать "все так же, но попроще" (все кто делали по книжке, напарывались на миллиарды проблем с совместимостью). отсюда миллиард настроек и стопиццот вариантов авторизации, "как у больших".<br><br>при этом код у них, полагаю, не настолько плох, как можно подумать - серьезных проблем именно в коде, а не очередном heartbleed, за всю историю было крайне мало.<br>А вот чем занимались лягушатники-аудиторы и стоит ли им доверять в других случаях - вопрос, по-моему, уже не открыт, а закрыт.<br><br><br>