Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в OpenVPN, допускающая подстановку данных в плагины и сторонние обработчики"	+/–
Сообщение от opennews (?), 09-Янв-25, 11:25
Раскрыты сведения об уязвимости (CVE-2024-5594) в пакете для создания виртуальных частных сетей OpenVPN, которая  может привести к подстановке  произвольных данных в сторонние исполняемые файлы или плагины в системе на другой стороне соединения. Уязвимость вызвана отсутствием проверки наличия нулевых байтов и некорректных символов при обработке управляющих сообщений, таких как PUSH_REPLY... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62530
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. Скрыто модератором	–2 +/–
Сообщение от Аноним (-), 09-Янв-25, 11:36
>  может привести к подстановке произвольных данных в сторонние исполняемые файлы или плагины в системе на другой стороне соединения > проблема переведена в разряд критических (уровень опасности 9.1 из 10). О, в очередной раз дыряшечные недостроки отстрелили ногу по самую оппу! Никогда такого не было и вот опять))) Правильно про них написали, что это "the most expensive one-byte mistake"
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором	–4 +/–
Сообщение от Аноним (-), 09-Янв-25, 11:47
Не зря Торвальдс сказал что по сравнению с ЭТИМ - wireguard это "work of art" (C).
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–2 +/–
Сообщение от Фнон (-), 09-Янв-25, 11:54
Т.е они в июне рассказывали про незначительный баг (ну подумаешь логи забиваются мусором), а сами, скорее всего знали про серьезность, и поменяли задним числом? Это очень некрасиво - много людей не будет обновляться, если в changelog'е какие-то минорные изменения.
Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–2 +/–
	Сообщение от Аноним (-), 09-Янв-25, 12:03
	> а сами, скорее всего знали про серьезность, и поменяли задним числом? Неа, все намного хуже - до них просто не поняли к чему может привести эта проблема. И только потом до жирафа дошло. Прям показатель уровня современных кодеров.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–2 +/–
	Сообщение от Аноним (12), 09-Янв-25, 12:43
	Неправда им сказали подержать уязвимость и не устраивать шумиху пока мы тут за несогласными не последним, а потом это отверстие закрывайте, а новое открывайте.
	Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–1 +/–
Сообщение от Аноним (-), 09-Янв-25, 12:00
Функция check_incoming_control_channel, куда был добавлен фикс, была написана 5 лет назад. Отличная закладка! Минимум пять лет тыщщи глаз не видели дыру и спокойно пользовались открытым, надежным и заслуживающим доверия опенсорным продуктом. А сейчас "oh, it just a bug!"
Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–2 +/–
	Сообщение от Аноним (-), 09-Янв-25, 12:21
	> Отличная закладка! Минимум пять лет тыщщи глаз не видели дыру и спокойно пользовались В OpenVPN сто лет к ряду была известная всем кто минимально интересовался - дыра в дефолтной конфиге - кода он ТИП СЕРТИФИКАТА НЕ ПРОВЕРЯЛ, ОЛОЛО. И каждый первый клиент - мог взять и нагло митмануть ближнего своего, откосплеив сервак своим сертом. Он же той же ауторити выписан! :D Так что спокойно ЭТИМ пользовались только те кто не интересовался что сие за летающий макаронный монстр и как его делают. p.s. надеюсь это объясняет почему вайргад всем этим не занимается :)
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Витюшка (?), 09-Янв-25, 15:26
	А чем пользовались те, кто интересовался?
	Ответить | Правка | Наверх | Cообщить модератору

	22. Скрыто модератором	+1 +/–
	Сообщение от User (??), 09-Янв-25, 15:32
	Предполагаю, что IPSec'ом - там способов выстрелить себе в ногу еще больше - но по какой-то причине было принято документацию читать, а не хаутуи копипастить.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+1 +/–
	Сообщение от User (??), 09-Янв-25, 15:30
	Уф. Если под "типом сертификата" вы понимаете nsCertType - то тут все вопросы к openssl, его в чистом виде где-то в районе 1.1 депрекейтнули, а стандартом оно и не было никогда. Если вы про extendedkeyusage который serverAuth\clientAuth - то формально они даже совершенно правы и все вопросы к IETF: RFC 5280 т.к. формально он на всю бошку optional и - по замыслу отсосдателей - должен использоваться исключительно для "TLS WWW server authentication" а не для всякого там опенвэпээна. Проверять KU\EKU и считать, что этого достаточно - это надо даже не "разработчиком OpenVPN" быть а прям даже "экспертом opennet". (Вот то, что эта борода _все еще_ не умеет в проверку соответствия SAN (Не, ну формально - дергай скрЫпт в --tls-verify и хоть запроверяйся) таки бида-огорчение. Т.е. и тут конечно можно дiдам в бороды наплевать и на RFC2818 пожаловаться - одни не подумали про несколько DNS-имен, другие deprecate'нули использование CN в этом качестве и напихали возможностёв в альтернативу (Сложьна!) - но то уже совсем в пользу бедных будет. ) Вместо этого все давно уже используют verify-x509-name - а кто икспердт, слышал звон и читал не тот хаутуй - тот может однажды удивиться, что CA оказывается может более одного сертификата с EKU 1.3.6.1.5.5.7.3.1 выписать - и громко жаловаться в спортлото на "небезопасность openvpn" потом.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	26. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от нах. (?), 09-Янв-25, 19:08
	> CA оказывается может более одного сертификата с EKU 1.3.6.1.5.5.7.3.1 выписать ну если тебе ломанули CA - то он выпишет (себе) и с правильным x509-name, столько, сколько понадобится васяну. А тут прикол был в том, что и выписывать ничего не надо - уже ж выписан, на твое честное имя, берешь и пользуешь в качестве серверного, зуб даю - сервер я! Увизгвимость, разумеется, исключительно теоретическая, потому что зачем ты в той стремной лабе полез подключаться к корпоративной сетке - совершенно непонятно. А если "коллеги" тебе такое прямо в сети предприятия устроили - то тут не впн чинить надо, а съ36ывать за границу, прихватив на память чей-нибудь чужой ноутбук, а то завтра они этим не ограничатся и на мясо тебя продадут.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 09-Янв-25, 19:46
	> ну если тебе ломанули CA - то он выпишет (себе) и с правильным x509-name, столько, сколько понадобится васяну. Почему "ломанули"? Зачем "ломанули"? Просто берешь _любой_ выписанный этим же CA серверный сертификат и пионЭр с "типом сертификата" и чувством глубокой защищенности из хаутуя идёт... ну вот туда и идет. А про то, что под ovpn оказываецца! (не) нужно отдельный (intermediate) CA заводить - в прионЭрских хаутуях не писано.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от нах. (?), 09-Янв-25, 20:02
	ну такоэ тож... у чувака с выписанным корп-CA сертификатом хоть чего-нибудь тоже дофига интересных возможностей без всякого openvpn. (от intermediate толку мало, нужно просто отдельный CA, которому незачем вовсе быть в корпоративной PKI, этот серт выписывается один раз и навсегда, можешь все запчасти от того CA сразу после этого удалить нахрен вместе с закрытым ключом, мы им никогда и ничего больше подписывать не будем) То что в openvpn нельзя просто сделать key pining без всякого "ca" - в общем-то вопрос к его разработчикам, видимо, черезмерно увлекавшимися корпоративными игрищами в ущерб надежности и простоте.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 09-Янв-25, 20:13
	> ну такоэ тож... у чувака с выписанным корп-CA сертификатом хоть чего-нибудь тоже > дофига интересных возможностей без всякого openvpn. MITM на оборудовании мы организовать уже можем - а "найти" сертификат еще нет? Ну... бывает. > (от intermediate толку мало, нужно просто отдельный CA, которому незачем вовсе быть > в корпоративной PKI, этот серт выписывается один раз и навсегда, можешь > все запчасти от того CA сразу после этого удалить нахрен вместе > с закрытым ключом, мы им никогда и ничего больше подписывать не > будем) Ну, depends on. Я бы скорее сказал, что перспективу управлять мульеном разных CA ИБ в гробу видела - но тут возможны варианты вплоть до того, что CA в веденьи инфры, а не безов оказывается... > То что в openvpn нельзя просто сделать key pining без всякого "ca" > - в общем-то вопрос к его разработчикам, видимо, черезмерно увлекавшимися корпоративными > игрищами в ущерб надежности и простоте. Аминь.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от нах. (?), 09-Янв-25, 21:01
	> MITM на оборудовании мы организовать уже можем - а "найти" сертификат еще нет? ну как бы да, обычно это сильно разные направления. Хотя, конечно, надо просто попросить. (но тогда и взламывать впн не понадобится) > Ну, depends on. Я бы скорее сказал, что перспективу управлять мульеном разных CA ИБ в > гробу видела ну вот авторы видимо как раз такой подход и имели в виду - что сертификат подтверждает не столько валидность сервера, сколько то что кому-то _разрешили_ содержать этот сервер. В реальной жизни разумеется - разрешение где-то отдельно, а какой там сертификат - иб никогда и не проверит.
	Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
Сообщение от Аноним (8), 09-Янв-25, 12:17
>сформированных в июне 2024 года. Проблема не стоит выделенного яйца, никто не ставит софт, который не выдержан года три в дубовых бочках после релиза.
Ответить | Правка | Наверх | Cообщить модератору

	9. Скрыто модератором	+1 +/–
	Сообщение от Аноним (9), 09-Янв-25, 12:21
	🤣🤣🤣
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+3 +/–
	Сообщение от Аноним (-), 09-Янв-25, 12:22
	>> сформированных в июне 2024 года. > Проблема не стоит выделенного яйца, никто не ставит софт, который > не выдержан года три в дубовых бочках после релиза. Эм... в сформированных в июне 2024 года как раз фикс. А вот оказалось, что в твоих бочках совсем не мед, а нечто другое. И сейчас у тебя прекрасный выбор - или обновляться на ненастоявшийся софт, или пользоваться заведомо дырявой версией.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	13. Скрыто модератором	+1 +/–
	Сообщение от Аноним (12), 09-Янв-25, 12:46
	Какая разница что в бочке если её содержимое раздают бесплатно и с лопаты?
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (8), 09-Янв-25, 12:48
	>сформированных в июне 2024 года как раз фикс. Ты плохо прочитал новость, Аноним. Написано же: >В опубликованном несколько дней назад обновлении, проблема переведена в разряд критических (уровень опасности 9.1 из 10). Уязвимость появилась в июне, несколько дней назад её объявили критической и исправили. Через пару лет посмотрим, до конца ли исправили.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	15. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (-), 09-Янв-25, 12:57
	> Ты плохо прочитал новость, Аноним. Разве? А как понимать фразу: "Проблема устранена в выпусках OpenVPN 2.5.11 и 2.6.11, сформированных в июне 2024 года." Устранена. Но внедрили эту уязвимость гораздо раньше, можно посмотреть когда менялся файл. И это было несколько лет назад.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (12), 09-Янв-25, 14:17
	Не надо туда смотреть. Не положено.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+1 +/–
	Сообщение от Аноним (19), 09-Янв-25, 14:35
	Что даже нельзя посмотреть имя и фамилию этого "бага"? А вдруг там зарубежный ЖинТян, а не наш родной отечественный! Это же возмутительно!!
	Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–3 +/–
Сообщение от Аноним (16), 09-Янв-25, 12:58
В дополнение: https://habr.com/ru/news/867640/
Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+6 +/–
	Сообщение от Аноним (12), 09-Янв-25, 14:17
	Спасибо поблевал от Хабра.
	Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
Сообщение от 12yoexpert (ok), 09-Янв-25, 16:42
> подстановку данных в плагины и сторонние обработчики как это по-русски? UPD нашёл: which attackers can use to inject unexpected arbitrary data into third-party executables or plug-ins автор, учи родной язык
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
Сообщение от Аноним (24), 09-Янв-25, 17:29
Я же говорил - именно в проекты "для анонимусов" бэкдоры и пихают. Корпораты же используют IPSec.
Ответить | Правка | Наверх | Cообщить модератору

	25. Скрыто модератором	+2 +/–
	Сообщение от Аноним (-), 09-Янв-25, 18:58
	Разумеется. Просто корпораты не боятся "злога хасударства!!11". К ним и так могут придти и попросить ключики. В некоторых странах по решению суда, а где-то и без. Поэтому и закладки делать в протоколах и софтине особого смысла нет. В отличие от софтин для васянов. Что мы собственно и видим.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (30), 09-Янв-25, 20:35
	Пихать в проекты для анонимусов бэкдоры бессмысленно. Любой анонимус и так на виду: соцсетями не пользуется, а если и пользуется, то самыми маргинальными; ОС и браузер нестандартные, в любой более-менее продвинутой системе сбора данных о посетителях видны как на ладони, и смена юзер-агента только хуже делает — сразу же помещает таких в отдельную категорию посетителей с поломанными браузерами; обычными «мирскими» делами такие персонажи интересуются крайне редко, газет и журналов не читают, телевизор не смотрят, и таким образом палятся за две минуты разговора. Вот и сам подумай, зачем тратить силы на бэкдоры, если анонимусы сами себя игрой в шпионов «подсвечивают»?
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема