Исходное сообщение
"Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита б..." Отправлено opennews, 12-Май-17 10:06
Сформирован (https://openvpn.net/index.php/open-source/downloads.html) корректирующий выпуск пакета OpenVPN 2.4.2, в состав которого вошли исправления, устраняющие проблемы, выявленные в результате независимого аудита механизмов шифрования. Одновременно опубликован (https://ostif.org/the-openvpn-2-4-0-audit-by-ostif-and-quark.../) отчёт с раскрытием деталей (https://ostif.org/wp-content/uploads/2017/05/OpenVPN1.2final...) аудита. Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась (https://www.opennet.ru/opennews/art.shtml?num=45333) для аудита проекта  VeraCrypt. На основании выработанных в ходе проверки рекомендаций в OpenVPN 2.4.2 внесено семь исправлений:  устранена одна опасная проблема, одна уязвимость средней степени опасности и пять несущественных недоработок. В частности, исправлены следующие уязвимости: -  CVE-2017-7478 (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-7478)  - аутентифицированый пользователь может инициировать отказ в обслуживании VPN-сервера через отправку слишком большой порции данных в пакете P_CONTROL. Из-за простоты проведения атаки проблеме присвоен высокий уровень опасности. Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме не подвержены; -  CVE-2017-7479 (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-7479) - аутентифицированый пользователь может вызвать крах OpenVPN через переполнение счётчика пакетов Packet-ID. Для совершения атаки нужно отправить несколько сотен гигабайт данных. URL: https://ostif.org/the-openvpn-2-4-0-audit-by-ostif-and-quark.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=46538