https://www.opennet.ru/openforum/vsluhforumID3/135737.html Раскрыты сведения об уязвимости (CVE-2024-5594) в пакете для создания виртуальных частных сетей OpenVPN, которая может привести к подстановке произвольных данных в сторонние исполняемые файлы или плагины в системе на другой стороне соединения. Уязвимость вызвана отсутствием проверки наличия нулевых байтов и некорректных символов при обработке управляющих сообщений, таких как PUSH_REPLY...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62530<br> https://www.opennet.ru/openforum/vsluhforumID3/135737.html#77 Tue, 14 Jan 2025 13:42:09 GMT Ээээ, оооо, аааа......<br>_Своему_ доверяю. Компаниям, с которыми есть взаимодействие - условно, такие в отдельном загончике.<br>А клиенты фиг знает каких VPN-провайдеров, используя старые клиенты, пусть страдают. Заплативши денег, да.<br> https://www.opennet.ru/openforum/vsluhforumID3/135737.html#74 Tue, 14 Jan 2025 11:01:38 GMT &gt;&gt; Пжди-пжди. Эта та клаудфларь, которая свою реализацию на rust'е написала? Ну, ту <br>&gt;&gt; самую, у которой на гитхабе "в оглавлении"(ТМ) написано "мы её переделываем <br>&gt;&gt; - ты сюда не смотри, ты туда смотри!" и последний коммит три года назад?<br>&gt; Жалкие попытки юления. Вам что не нравится? Размер корпы? Число кастомеров? Или <br>&gt; что маргинальщина на их фоне - вы? И апи есть. Даже <br>&gt; у автыря wg на минималках - есть.<br><br>Ну, тут примерно как с XMPP не столь давно, да. У анонима есть xmpp - и у facebook'а есть xmpp - но есть, как говорится, нюанс! Аноним может - ну вот с котом пообщаться, а с whatsup'ом - почему-то, не может. И да, когда WA этот самый XMPP заменил - всем внезапно оказалось... пофиг что там у него внутри. <br>Так и тут - у CF есть какая-то реализация WG (И скорее всего - не та, что на gh) и у анонима есть wg - но подключиться к CF со своей реализацией аноним ну... вот... не может. <br><br><br>&gt; [...] <br>&gt;&gt; Пжди-пжди. А этот самый warp не то ли самое "нужное полутора инвалидов <br>&gt;&gt; из числа энтерпрайзов"(ТМ https://www.opennet.ru/openforum/vsluhforumID3/135737.html#73 Tue, 14 Jan 2025 10:52:50 GMT &gt;[оверквотинг удален]<br>&gt; Сертификат ему - внезапно - выпишет тот же CA. Как +1 клиенту <br>&gt; впна. Эти атаки реально и массово практиковались. Собссно когда все совсем <br>&gt; уж начали наглеть, вскрывая оптом, они и прописали проверку типа серта <br>&gt; по дефолту. Но до этого несколько лет те кто хлопал клювом <br>&gt; могли получить простой и эффективный нежданчик, налив траф - совсем не <br>&gt; тому.<br>&gt;&gt; тебе дятлу уже сказали - нет у openssl никакого "дефолтного конфига".<br>&gt; А ничего что у openvpn - очень даже есть дефолты, на состояние <br>&gt; фич которые в конфиге не прописаны? Кроме всего прочего - и <br>&gt; вон то тоже там рулится.<br><br>Так пруф-то будет, м? Очень интересно, что у _анонима_ в "дефолтном конфиге". Что у openvpn - я знаю, а у анонима? Интрига...<br> https://www.opennet.ru/openforum/vsluhforumID3/135737.html#72 Tue, 14 Jan 2025 10:18:48 GMT &gt; Нафиг мне ваши объяснения о ненужном? Я даже и не читал. <br><br>Ну вот с этого и надо было начинать диалог, да? "Я ничего не понял, дяденька - можете даже и не объяснять, сложьна оченнно!" - я б и не старался.<br><br>&gt; Чем больше ритуалов <br><br>Да-да. Называть терминологию предметной области "ритуалами" это конечно замечательно - но если придется общаться с кем-то кроме кота - ну вот проблемочки будут. <br><br>&gt;&gt; верующему знать и не требуется. "Главное - ВЕРИТЬ!", ага.<br>&gt; Я верю. <br><br>И веруйте дальше. Важный для айтишника скилл, без сомнения. <br><br>&gt; Дефолтовая генерация опенвпна с неких пор таки генерит разные серты и клиент <br>&gt; - вот - научили отличать. Потому это в все HOW TO <br>&gt; кулхацкеров уже вошло.<br><br>Ну вот не видел ты ни разу openvpn - ну ты так и скажи: "дяденька, я его в глаза не видел, только wireguard знаю, и тот по картинке" а не это вот. <br>Чу-душ-ко, где ж ты в openvpn генерацию сертификатов-то нашел, а? Рядом с "дефолтной конфигурацией" поди? Ну так будь ласка, покажи?<br><br>&gt;&gt; Ухтыжлапочка ты моя! А слабо откры https://www.opennet.ru/openforum/vsluhforumID3/135737.html#71 Tue, 14 Jan 2025 09:54:50 GMT &gt;&gt; для-себя-и-кота) vpn могла быть тем еще шапито. (А способа сходить за <br>&gt;&gt; CRL у клиента и вообще нет - ни один пользак "в <br>&gt; ну нафига я буду отзывать сертификат сервера-то? Если клиент ухитряется подключиться к <br>&gt; чуждому серверу, и в том еще и мой сертификат - тут <br>&gt; контору закрывать надо с чувством выполненного долга и расходиться, тут уже <br>&gt; ничего не исправить. Да и заменить-то сертификат нерешаемая задача, проще тоже <br>&gt; закрыться.<br><br>Ну, теоретически компроментация серверного сертификата (с этим самым MITM'ом в последствии) - возможна (Васян уволился - и все, к чему он имел доступ...). А способов _штатно_ её обработать - нет, бери телефон и - вот обзванивай. Не то, чтобы прям "нужно-нужно" было, но. <br><br>&gt; А на серверной стороне - ну да, надо перезапускать всю балалайку, по <br>&gt; крайней мере раньше было надо, с отвалом соединений, но кому ж <br>&gt; тех юзеров жалко.<br><br>Ну вот в районе 2.4-2.5 сделали возможность скормить в директиву --crl-verify не файл с CRL а пАпочку с файликами имя_файла=SN-отозван https://www.opennet.ru/openforum/vsluhforumID3/135737.html#70 Tue, 14 Jan 2025 09:07:29 GMT &gt; А мне пофиг. <br><br>Кексперт же ж.<br><br>&gt; Вайргад проще нарулить<br><br>для васянского подкроватного сервера в единственном экземпляре - проще. Но смысла никакого - никому ты не нужен.<br><br>Для команды хотя бы человек в десять, которые еще и приходят-уходят - нет, не проще. Да еще и виндовый клиент полное невменько. А это уровень подвального васян-и-братва. Для которых примерно и предназначен openvpn.<br>А еще бывают повзрослевшие васяны, переехавшие из подвала в семиэтажный офис, но части инфраструктуры притащившие из тех, далеких времен. У тех еще свои проблемы бывают, подвальным неведомые.<br><br>То и другое далеко за пределами твоих кекспертных навыков.<br> https://www.opennet.ru/openforum/vsluhforumID3/135737.html#69 Tue, 14 Jan 2025 08:51:51 GMT &gt; Как народ бушует то....<br>&gt; "Уязвимость" при получении кривых команд от Кого? Недоверенного сервера? Ась? Вы туда <br>&gt; вообще воюете?<br><br>А ты вот прям всей душой доверяешь фиг знает какому серваку воон того VPN провайдера например? И основанием к тому - чего? :)<br> https://www.opennet.ru/openforum/vsluhforumID3/135737.html#68 Tue, 14 Jan 2025 08:46:21 GMT &gt; Ну, т.е. о чем тебе пишут - ты не понял, да? Ну <br>&gt; так ты сразу так и скажи - "ЯННП, объясните дяденька!" а <br><br>Нафиг мне ваши объяснения о ненужном? Я даже и не читал. Цель VPN это поднять защищенный линк, а не камлать на ваши 20-этажные ритуалы.<br><br>Чем больше ритуалов - тем больше способов прострела пяток - и д@рьмовее и менее безопаснее решение в целом. Сабж далеко не единственный CVE в _этом_. Можно взять и сравнить число CVE в том и другом :). Для ovpn придется приплюсовать также CVE от openssl'я. Коих в избытке.<br><br>&gt; верующему знать и не требуется. "Главное - ВЕРИТЬ!", ага.<br><br>Я верю. В скиллы Донфилда и что он лучше "designed by comittee" знает что делает. Это видно. По его коду, общей логике протокола, подборке алго и дизайну в целом.<br><br>&gt; Ну вот прикинь - с т.з. x509 сертификат "клиента" отличается от сертификата <br>&gt; "сервера" вот "никак". Опциональный экстеншн там конечно есть - <br><br>Дефолтовая генерация опенвпна с неких пор таки генерит разные серты и клиент - вот - научили отличать. Потому это в вс https://www.opennet.ru/openforum/vsluhforumID3/135737.html#67 Tue, 14 Jan 2025 08:32:31 GMT теоретически - в обратную сторону (от доверенного но слишком доверчивого клиента) тоже сработает. Но для этого надо таки иметь на сервере какие-то блин "плагины" хз для чего и к чему.<br>Вероятно что-то из новомодных улучшайзингов, которые на немодных серверах вообще пока не завелись.<br>