Критическая уязвимость пакета OpenVPN

03 Dec 2014 | Автор: anchous |

В самом конце ноября в свободно распространяемом пакете OpenVPN обнаружили критическую уязвимость, приводящую к отказу в обслуживании сервиса (CVE-2014-8104). Уязвимость затрагивает все версии продукта OpenVPN 2.x, кроме пофиксенного релиза от 1 декабря OpenVPN 2.3.6.

Версия OpenVPN 3.x (в которой также присутствуют мобильные версии клиента) использует другой механизм и уязвимости не подвержена.

Смысл уязвимости заключается в том, что сервер может порушить залогиненный клиент, прошедший аутентификацию, путем отправки слишком короткого контрольного пакета tls (менее 4 байт). Надо заметить, что эксплуатировать уязвимость могут только клиенты использующие TLS аутентификацию, если же помимо пароля используются сертификаты, то уязвимость не используется.

Причем в связке использования логина (имя пользователя:пароль) и TLS ключа, атака возможна еще до стадии проверки связки логина.

Собственно вариантов устранения два- либо пропатчить имеющуюся версию, либо же обновиться до последней актуальной.

Инфа в оригинальном языке на офф.сайте OpenVPN.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Теги:

Ваш отзыв