Критическая уязвимость пакета OpenVPN
03 Dec 2014 | Автор: dd |В самом конце ноября в свободно распространяемом пакете OpenVPN обнаружили критическую уязвимость, приводящую к отказу в обслуживании сервиса (CVE-2014-8104). Уязвимость затрагивает все версии продукта OpenVPN 2.x, кроме пофиксенного релиза от 1 декабря OpenVPN 2.3.6.
Версия OpenVPN 3.x (в которой также присутствуют мобильные версии клиента) использует другой механизм и уязвимости не подвержена.
Смысл уязвимости заключается в том, что сервер может порушить залогиненный клиент, прошедший аутентификацию, путем отправки слишком короткого контрольного пакета tls (менее 4 байт). Надо заметить, что эксплуатировать уязвимость могут только клиенты использующие TLS аутентификацию, если же помимо пароля используются сертификаты, то уязвимость не используется.
Причем в связке использования логина (имя пользователя:пароль) и TLS ключа, атака возможна еще до стадии проверки связки логина.
Собственно вариантов устранения два- либо пропатчить имеющуюся версию, либо же обновиться до последней актуальной.
Инфа в оригинальном языке на офф.сайте OpenVPN.
Теги: openvz
