https://www.opennet.me/openforum/vsluhforumID3/119170.html Опубликована техника атаки (CVE-2019-14899), позволяющая подменить, изменить или подставить пакеты в TCP-соединения, пробрасываемые через VPN-туннели. Проблема затрагивает Linux, FreeBSD, OpenBSD, Android, macOS, iOS и другие Unix-подобные системы, поддерживающие технику защиты от спуфинга rp_filter (reverse path filtering) для IPv4. Для IPv6 атака может быть совершена независимо от применения rp_filter...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51986<br> https://www.opennet.me/openforum/vsluhforumID3/119170.html#185 Sun, 15 Dec 2019 09:04:11 GMT &gt; Опубликована техника атаки (CVE-2019-14899), позволяющая подменить, изменить или подставить пакеты в TCP-соединения, пробрасываемые через VPN-туннели.<br><br>Примерно ~15 лет назад данная техника атаки на шифрованные тунели была разработана и опубликована мною лично на одном украинском форуме.<br><br>И другой человек, с этого украинского форума, предложил патч для выравнивания всех пакетов тунеля до MTU.<br><br>Там же предлагали защиту с помощью сетевого экрана.<br> https://www.opennet.me/openforum/vsluhforumID3/119170.html#184 Wed, 11 Dec 2019 04:30:49 GMT &gt;&gt; Не-дилетанты используют Икспишечку. ;) <br>&gt; Может еще и IE6? А то у меня как раз в бэкапах <br>&gt; эксплойт для активиксов нашелся.<br><br>Давай. Я его запущу и покажу результат.<br> https://www.opennet.me/openforum/vsluhforumID3/119170.html#183 Wed, 11 Dec 2019 03:39:00 GMT &gt; Для систем на которых поднят vpn некорректно<br><br>Аргументируйте, почему rp_filter == 0 корректно, а более строгое rp_filter == 2 - вдруг некорректно. Или же придётся, кинув камень в systemd, кинуть гораздо больший камень в разработчиков ядра.<br> https://www.opennet.me/openforum/vsluhforumID3/119170.html#182 Wed, 11 Dec 2019 02:15:12 GMT &gt; Не-дилетанты используют Икспишечку. ;)<br><br>Может еще и IE6? А то у меня как раз в бэкапах эксплойт для активиксов нашелся.<br> https://www.opennet.me/openforum/vsluhforumID3/119170.html#181 Tue, 10 Dec 2019 22:14:18 GMT Ecли у меня UDP с TLS на pfsense, мне стоит беспокоится по поводу сабжа? <br> https://www.opennet.me/openforum/vsluhforumID3/119170.html#180 Mon, 09 Dec 2019 23:22:04 GMT Первым делом при настройке любого маршрутизатора запрещаю приём пакетов на интерфейс не из его сети. Это прям базовая вещь. Но да, девопсяры обычно не в курсе.<br> https://www.opennet.me/openforum/vsluhforumID3/119170.html#179 Mon, 09 Dec 2019 14:11:12 GMT &gt;&gt; Пруфы буду про конвульсии? А пока я вижу, что в Сусе пакеты <br>&gt;&gt; новее, чем в Дебиане, но "умирает" почему-то Суся.<br>&gt;&gt; Какие же дeбилы линуксоиды. Пока не было интернета, не знал, что на <br>&gt;&gt; свете столько идиoтoв.<br>&gt; ERROR: Peer certificate cannot be autentificated with known CA certificates: (60) <br><br>ЗЫ<br><br>These products have reached their end of general support<br>and thus do not provide new updates anymore.<br><br>In case that your subscription contains extended support,<br>please make sure that you have activated the extension.<br><br>Contact us if you need further assistance.<br><br>SUSE Linux Enterprose Server 11 SP4<br><br><br>Умерло, пишут, закапывай.<br> https://www.opennet.me/openforum/vsluhforumID3/119170.html#178 Mon, 09 Dec 2019 14:06:56 GMT &gt; Пруфы буду про конвульсии? А пока я вижу, что в Сусе пакеты <br>&gt; новее, чем в Дебиане, но "умирает" почему-то Суся.<br>&gt; Какие же дeбилы линуксоиды. Пока не было интернета, не знал, что на <br>&gt; свете столько идиoтoв.<br><br>ERROR: Peer certificate cannot be autentificated with known CA certificates: (60)<br> https://www.opennet.me/openforum/vsluhforumID3/119170.html#177 Mon, 09 Dec 2019 12:53:36 GMT Пруфы буду про конвульсии? А пока я вижу, что в Сусе пакеты новее, чем в Дебиане, но "умирает" почему-то Суся.<br>Какие же дeбилы линуксоиды. Пока не было интернета, не знал, что на свете столько идиoтoв.<br>