Уязвимости в OpenVPN и SoftEther VPN
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Подготовлен выпуск OpenVPN 2.6.7, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. В новой версии устранены две уязвимости:
- CVE-2023-46850 - обращение к области памяти после её освобождения (use-after-free) может привести к отправке на другую сторону соединения содержимого памяти процесса, а также потенциально к удалённому выполнению кода. Проблема проявляется в конфигурациях, использующих TLS (запускаемых без параметра "--secret").
- CVE-2023-46849 - возникновение ситуации деления на ноль может привести к удалённому инициированию аварийного завершения сервера доступа в конфигурациях, использующих опцию "--fragment".
Из не связанных с безопасностью изменений в OpenVPN 2.6.7:
- Добавлено предупреждение при отправке другой стороной пакетов DATA_V1 при попытке подключения клиента OpenVPN 2.6.x к несовместимым серверам на базе версий 2.4.0-2.4.4 (для устранения несовместимости можно использовать опцию "--disable-dco").
- Удалён завязанный на OpenSSL 1.x устаревший метод, использующий OpenSSL Engine для загрузки ключей. В качестве причины называется нежелание автора перелицензировать код с новыми исключениями на связывание.
- Добавлено предупреждение при соединении клиента p2p NCP к серверу p2mp (комбинация, используемая для работы без согласования шифров), так как имеются проблемы при использовании версий 2.6.x на обеих сторонах соединения.
- Добавлено предупреждение о том, что флаг "--show-groups" не отображает все поддерживаемые группы.
- В параметре "--dns" удалена обработка аргумента "exclude-domains", появившегося в ветке 2.6, но пока не поддерживаемого бэкендами.
- Добавлено предупреждение, показываемое, если управляющее сообщение INFO имеет слишком большой размер и не может быть перенаправлено клиенту.
- Для сборок с использованием MinGW и MSVC добавлена поддержка системы сборки CMake. Удалена поддержка старой сборочной системы MSVC.
Дополнительно можно отметить выявление 9 уязвимостей в открытом VPN-сервере SoftEther. Одной из проблем (CVE-2023-27395) присвоен критический уровень опасности - уязвимость вызвана переполнением буфера и может привести к удалённому выполнению кода на стороне клиента, при попытке подключения к серверу, контролируемому злоумышленником. Уязвимость устранена в июньском обновлении SoftEther VPN 4.42 Build 9798 RTM.
Ещё две уязвимости (CVE-2023-32634, CVE-2023-27516) дают возможность получить несанкционированный доступ к VPN-сеансу в ходе MITM-атаки через применение заданных по умолчанию учётных данных для сервера RPC. Уязвимости устранены в форме патча.
Уязвимости CVE-2023-31192 и CVE-2023-32275 (патч) могут привести к утечке конфиденциальной информации в некоторых пакетах в результате совершения MITM-атак. Оставшиеся 4 уязвимости (CVE-2023-22325, CVE-2023-23581, CVE-2023-22308 и CVE-2023-25774) могут применяться для вызова отказа в обслуживании, например, для принудительного разрыва соединения или аварийного завершения работы клиента. В кодовую базу SoftEther VPN недавно также было принято исправление 7 уявзимостей, подробностей о которых пока нет.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://github.com/OpenVPN/ope...)
- OpenNews: Доступен OpenVPN 2.6.0
- OpenNews: Представлен модуль ядра, способный в разы ускорить OpenVPN
- OpenNews: Представлен VPN Rosenpass, устойчивый к атакам с использованием квантовых компьютеров
- OpenNews: VPN-сервер SoftEther VPN открыт под лицензией GPLv2
- OpenNews: Серия атак TunnelCrack, направленных на перехват трафика VPN
Похожие новости:
- Доступен OpenVPN 2.6.0
- Выпуск OpenVPN 2.5.8
- Выпуск OpenVPN 2.5.6 и 2.4.12 с устранением уязвимости
- Выпуск OpenVPN 2.5.5
- Представлен модуль ядра, способный в разы ускорить OpenVPN
- [Информационная безопасность, Системное администрирование, Сетевые технологии] SoftEther VPN — быстрая настройка
- [Сетевые технологии] Бесплатный персональный OpenVPN-сервер на базе Oracle Cloud
- [Разработка под Linux] Архитектура контейнеров, часть 1. Почему важно понимать разницу между пространством пользователя и пространством ядра
- Обновление OpenVPN 2.5.3. Отключение Opera VPN и VyprVPN в РФ
- [Разработка под iOS, Swift] Делаем OpenVPN клиент для iOS
Теги для поиска: #_openvpn, #_softether
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 13:14
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Подготовлен выпуск OpenVPN 2.6.7, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. В новой версии устранены две уязвимости:
Ещё две уязвимости (CVE-2023-32634, CVE-2023-27516) дают возможность получить несанкционированный доступ к VPN-сеансу в ходе MITM-атаки через применение заданных по умолчанию учётных данных для сервера RPC. Уязвимости устранены в форме патча. Уязвимости CVE-2023-31192 и CVE-2023-32275 (патч) могут привести к утечке конфиденциальной информации в некоторых пакетах в результате совершения MITM-атак. Оставшиеся 4 уязвимости (CVE-2023-22325, CVE-2023-23581, CVE-2023-22308 и CVE-2023-25774) могут применяться для вызова отказа в обслуживании, например, для принудительного разрыва соединения или аварийного завершения работы клиента. В кодовую базу SoftEther VPN недавно также было принято исправление 7 уявзимостей, подробностей о которых пока нет. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 13:14
Часовой пояс: UTC + 5