Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в OpenVPN, допускающая подстановку данных в плагины и сторонние обработчики"	+/–
Сообщение от opennews (?), 09-Янв-25, 11:25
Раскрыты сведения об уязвимости (CVE-2024-5594) в пакете для создания виртуальных частных сетей OpenVPN, которая  может привести к подстановке  произвольных данных в сторонние исполняемые файлы или плагины в системе на другой стороне соединения. Уязвимость вызвана отсутствием проверки наличия нулевых байтов и некорректных символов при обработке управляющих сообщений, таких как PUSH_REPLY... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62530
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. Скрыто модератором	–1 +/–
Сообщение от Аноним (-), 09-Янв-25, 11:36
>  может привести к подстановке произвольных данных в сторонние исполняемые файлы или плагины в системе на другой стороне соединения > проблема переведена в разряд критических (уровень опасности 9.1 из 10). О, в очередной раз дыряшечные недостроки отстрелили ногу по самую оппу! Никогда такого не было и вот опять))) Правильно про них написали, что это "the most expensive one-byte mistake"
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором	–5 +/–
Сообщение от Аноним (-), 09-Янв-25, 11:47
Не зря Торвальдс сказал что по сравнению с ЭТИМ - wireguard это "work of art" (C).
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–6 +/–
Сообщение от Фнон (-), 09-Янв-25, 11:54
Т.е они в июне рассказывали про незначительный баг (ну подумаешь логи забиваются мусором), а сами, скорее всего знали про серьезность, и поменяли задним числом? Это очень некрасиво - много людей не будет обновляться, если в changelog'е какие-то минорные изменения.
Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–2 +/–
	Сообщение от Аноним (-), 09-Янв-25, 12:03
	> а сами, скорее всего знали про серьезность, и поменяли задним числом? Неа, все намного хуже - до них просто не поняли к чему может привести эта проблема. И только потом до жирафа дошло. Прям показатель уровня современных кодеров.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–3 +/–
	Сообщение от Аноним (12), 09-Янв-25, 12:43
	Неправда им сказали подержать уязвимость и не устраивать шумиху пока мы тут за несогласными не последним, а потом это отверстие закрывайте, а новое открывайте.
	Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–1 +/–
Сообщение от Аноним (-), 09-Янв-25, 12:00
Функция check_incoming_control_channel, куда был добавлен фикс, была написана 5 лет назад. Отличная закладка! Минимум пять лет тыщщи глаз не видели дыру и спокойно пользовались открытым, надежным и заслуживающим доверия опенсорным продуктом. А сейчас "oh, it just a bug!"
Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (-), 09-Янв-25, 12:21
	> Отличная закладка! Минимум пять лет тыщщи глаз не видели дыру и спокойно пользовались В OpenVPN сто лет к ряду была известная всем кто минимально интересовался - дыра в дефолтной конфиге - кода он ТИП СЕРТИФИКАТА НЕ ПРОВЕРЯЛ, ОЛОЛО. И каждый первый клиент - мог взять и нагло митмануть ближнего своего, откосплеив сервак своим сертом. Он же той же ауторити выписан! :D Так что спокойно ЭТИМ пользовались только те кто не интересовался что сие за летающий макаронный монстр и как его делают. p.s. надеюсь это объясняет почему вайргад всем этим не занимается :)
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Витюшка (?), 09-Янв-25, 15:26
	А чем пользовались те, кто интересовался?
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+1 +/–
	Сообщение от User (??), 09-Янв-25, 15:32
	Предполагаю, что IPSec'ом - там способов выстрелить себе в ногу еще больше - но по какой-то причине было принято документацию читать, а не хаутуи копипастить.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–1 +/–
	Сообщение от Аноним (-), 10-Янв-25, 12:42
	> Предполагаю, что IPSec'ом - там способов выстрелить себе в ногу еще > больше - но по какой-то причине было принято документацию читать, > а не хаутуи копипастить. Не, заменять одну энтерпрайз-блевотень с кучей вулнов, на другую - еще страшнее - и с в 2 раза больше вулнов - это прерогатива покусаных энтерпрайзом господ. А всякие относительно мелкие VPN не покусаные баззвордами типа TLS/SSL и "стандарты" - были много лет. Сейчас им жить стало намного сложнее из-за вайргада, который примерно это самое - но еще в ядре, так что маленький, простой в настройке - и очень шустрый. Так что конкурировать с ним стало конечно гораздо душнее.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+5 +/–
	Сообщение от User (??), 10-Янв-25, 13:21
	>> Предполагаю, что IPSec'ом - там способов выстрелить себе в ногу еще >> больше - но по какой-то причине было принято документацию читать, >> а не хаутуи копипастить. > Не, заменять одну энтерпрайз-блевотень с кучей вулнов, на другую - еще страшнее > - и с в 2 раза больше вулнов - это прерогатива > покусаных энтерпрайзом господ. А всякие относительно мелкие VPN не покусаные баззвордами > типа TLS/SSL и "стандарты" - были много лет. Сейчас им жить > стало намного сложнее из-за вайргада, который примерно это самое - но > еще в ядре, так что маленький, простой в настройке - и > очень шустрый. Так что конкурировать с ним стало конечно гораздо душнее. Звиняйте, хлопцi - но разве что в нише "для себя и кота" - в остальных wg не делает примерно "ничего" полезного, сорян. И да, даже со скотом судя по бенчмаркам того же cillium'а - как-то ниочень вышло, ipsec засчет offload'а криптографии работает - сюрприииз! быстрее. _СЕЙЧАС_ у норот все больше checkpoint, cisco anyconnect, citrix secure access - да даже ms sstp, блин. Нужны complience policy оконечных устройств, нормальные (Нормальные, Карл!) клиенты для примерно всех ОС, централизованное управление зоопарком, развитая маршрутизация, отсутствие проблем за NAT'ами\FW, динамическое управление, контроль аномалий трафика + расширенные возможности FW, в нишевых кейсах - недетектируемость и т.д. - а не "Мааам! Мааам! Смотри как я зашифровал трафик между двумя хостами!" Чтобы из WG вот это всё сделать нуээээ... пока вроде не вышло еще ни у кого, но пытаются, да.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–1 +/–
	Сообщение от Аноним (51), 12-Янв-25, 19:23
	> Звиняйте, хлопцi - но разве что в нише "для себя и кота" > - в остальных wg не делает примерно "ничего" полезного, сорян. Расскажите это корпам размером с клаудспайварь. Понятно что они никто, куда им до вас по числу клиентов и трафику. > как-то ниочень вышло, ipsec засчет offload'а криптографии работает - сюрприииз! быстрее. Это айписеку не поможет. Узконишевая хтонь для энтерпрайзов, иного хождения эта хтонь не имеет. > _СЕЙЧАС_ у норот все больше checkpoint, cisco anyconnect, citrix secure access - Полтора энтерпрайза, не ориентированных на сети? У, да, эти то делают погоду на глобусе. Всеми своими полутора клиентами. > да даже ms sstp, блин. Нужны complience policy оконечных устройств, Кому это все нужно? Опять же полутора инвалидам из числа энтерпрайзов? > и т.д. - а не "Мааам! Мааам! Смотри как я зашифровал > трафик между двумя хостами!" Когда у вас будет больше клиентов чем у хотя бы у cf warp мы поговорим об этом. > Чтобы из WG вот это всё сделать нуээээ... пока вроде не вышло > еще ни у кого, но пытаются, да. Да вообще-то кому надо было - апи для менеджментам клиентов успешно развесли, все такое. Не является какой-то нерешаемой задачей. И так то успешно пытаются - суммарно на этом глобусе оно вероятно сильно более популярно уже чем все эти айписекасы вместе взятые.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 12-Янв-25, 21:59
	>> Звиняйте, хлопцi - но разве что в нише "для себя и кота" >> - в остальных wg не делает примерно "ничего" полезного, сорян. > Расскажите это корпам размером с клаудспайварь. Понятно что они никто, куда им > до вас по числу клиентов и трафику. Пжди-пжди. Эта та клаудфларь, которая свою реализацию на rust'е написала? Ну, ту самую, у которой на гитхабе "в оглавлении"(ТМ) написано "мы её переделываем - ты сюда не смотри, ты туда смотри!" и последний коммит три года назад? >> как-то ниочень вышло, ipsec засчет offload'а криптографии работает - сюрприииз! быстрее. > Это айписеку не поможет. Узконишевая хтонь для энтерпрайзов, иного хождения эта хтонь > не имеет. Ну, если вы так говорите... >> _СЕЙЧАС_ у норот все больше checkpoint, cisco anyconnect, citrix secure access - > Полтора энтерпрайза, не ориентированных на сети? У, да, эти то делают погоду > на глобусе. Всеми своими полутора клиентами. Ну, если вы так говорите... >> да даже ms sstp, блин. Нужны complience policy оконечных устройств, > Кому это все нужно? Опять же полутора инвалидам из числа энтерпрайзов? Ну, если вы так говорите... >> и т.д. - а не "Мааам! Мааам! Смотри как я зашифровал >> трафик между двумя хостами!" > Когда у вас будет больше клиентов чем у хотя бы у cf > warp мы поговорим об этом. Пжди-пжди. А этот самый warp не то ли самое "нужное полутора инвалидов из числа энтерпрайзов"(ТМ) делает ли? Ах то же самое примерно? Ааааа... И исходники у этого warp'а разумеется где-то на forgeio лежат - на GH я их не нашел, да. Будь ласка, посмотри там да скинь ссылку? А... Слушай, без этого самого warp'а ты к той клаудфлари подключиться разумеется без проблем можешь? Ааааа! Так что же это получается - у клаудфлари wg есть - а у тебя - нету? Или есть, но какие-то разные? Дiла... сва-ва-бодные такие, да. Не какой-нибудь пыприитарный SNX, понимать надо! Совсем другое! >> Чтобы из WG вот это всё сделать нуээээ... пока вроде не вышло >> еще ни у кого, но пытаются, да. > Да вообще-то кому надо было - апи для менеджментам клиентов успешно развесли, > все такое. Не является какой-то нерешаемой задачей. И так то успешно > пытаются - суммарно на этом глобусе оно вероятно сильно более популярно > уже чем все эти айписекасы вместе взятые. Ну, т.е. в вилларибо все еще моют посуду - надо только подождать - ну или вот в виллабаджо к клаудфларям сходить.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (62), 14-Янв-25, 10:32
	> Пжди-пжди. Эта та клаудфларь, которая свою реализацию на rust'е написала? Ну, ту > самую, у которой на гитхабе "в оглавлении"(ТМ) написано "мы её переделываем > - ты сюда не смотри, ты туда смотри!" и последний коммит три года назад? Жалкие попытки юления. Вам что не нравится? Размер корпы? Число кастомеров? Или что маргинальщина на их фоне - вы? И апи есть. Даже у автыря wg на минималках - есть. > Ну, если вы так говорите... Пример выше - покрывает по масштабу всю мышиную возню мегасисопов с айписеком. [...] > Пжди-пжди. А этот самый warp не то ли самое "нужное полутора инвалидов > из числа энтерпрайзов"(ТМ) делает ли? Довольно массовая штука в отличие от айписекаса, хомы тоже юзают AFAIK. > И исходники у этого warp'а разумеется где-то на forgeio лежат - понятия не имею, но внутрях wg > да скинь ссылку? kernel.org :) > Так что же это получается - у клаудфлари wg есть - а у тебя - нету? Он сейчас в каждом линух кернеле. > Ну, т.е. в вилларибо все еще моют посуду - надо только подождать > - ну или вот в виллабаджо к клаудфларям сходить. Пойнт в том что по массововти внедрения оно уже вероятно сильно обошло вон тех. И я привел лишь самого жирного и известного, а реально - их легион. Спросите поискарь, если не верите.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 14-Янв-25, 14:01
	>> Пжди-пжди. Эта та клаудфларь, которая свою реализацию на rust'е написала? Ну, ту >> самую, у которой на гитхабе "в оглавлении"(ТМ) написано "мы её переделываем >> - ты сюда не смотри, ты туда смотри!" и последний коммит три года назад? > Жалкие попытки юления. Вам что не нравится? Размер корпы? Число кастомеров? Или > что маргинальщина на их фоне - вы? И апи есть. Даже > у автыря wg на минималках - есть. Ну, тут примерно как с XMPP не столь давно, да. У анонима есть xmpp - и у facebook'а есть xmpp - но есть, как говорится, нюанс! Аноним может - ну вот с котом пообщаться, а с whatsup'ом - почему-то, не может. И да, когда WA этот самый XMPP заменил - всем внезапно оказалось... пофиг что там у него внутри. Так и тут - у CF есть какая-то реализация WG (И скорее всего - не та, что на gh) и у анонима есть wg - но подключиться к CF со своей реализацией аноним ну... вот... не может. > [...] >> Пжди-пжди. А этот самый warp не то ли самое "нужное полутора инвалидов >> из числа энтерпрайзов"(ТМ) делает ли? > Довольно массовая штука в отличие от айписекаса, хомы тоже юзают AFAIK. Ну в общем да - массовая. С закрытыми исходниками. Делает всю "ненужную никому магию", но без неё подключиться ну... вот... нельзя. Чудеса. >> И исходники у этого warp'а разумеется где-то на forgeio лежат - > понятия не имею, но внутрях wg Ты главное - верь, ага. Подключиться-то все равно не сможешь, и самостоятельно реализовать всю эту "ненужную" обвязку - сюрприииз! Тоже нет. >> да скинь ссылку? > kernel.org :) Что, warp тоже они разрабатывают? Ух тыыы! Глянул, исходников не нашел. Уж не астрономией ли аноним тут занимается? >> Так что же это получается - у клаудфлари wg есть - а у тебя - нету? > Он сейчас в каждом линух кернеле. Ну покажи мастеркласс, подключись к клаудфлари без её проприетарного клиента? > Пойнт в том что по массововти внедрения оно уже вероятно сильно обошло > вон тех. И я привел лишь самого жирного и известного, а > реально - их легион. Спросите поискарь, если не верите. Ну да. XMPP самый распространенный коммуникационный протокол. Был. ААААааагромная победа opensource'а! Но есть нюанс(С)
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–1 +/–
	Сообщение от Аноним (-), 10-Янв-25, 12:39
	> А чем пользовались те, кто интересовался? Сейчас они пользуются в основном чем-то типа вайргада. А тогда всякими мелкими наколенными самопалами, менее известными и не такими навороченными опять же. Дабы избегать таких залетов.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	42. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+1 +/–
	Сообщение от нах. (?), 10-Янв-25, 14:32
	ты опять подменил понятия - те кто интересовался, как пользовались _нормальными_ решениями (и одно из них таки openvpn) так и продолжают. А вайргад - удел васянов с подкроватным локалхостом. Как и все твои самопалы. Причем от кого вы прячетесь - никто не знает, потому что никому вы нахрен просто не нужны. (и да, я совершенно уверен что васянские попытки как-то менеджить вайргады - хотя бы вот автоматически обновлять ключи регулярно - сплошное, законченное, эталоннейшее шерето. Опять же никем не поломанное только потому что нахрен никому не сдалось) Ну а у тебя, наверняка, один ключ от всего, и не меняется уже пять лет. Безопастно!
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (44), 11-Янв-25, 05:49
	Твои страдания по поводу Wireguard вызывают недоумение. Система простая как полено. Циска мусолит добавить wg в роутеры, сразу в хардварном исполнении. Все пользуются, всё работает, ключи ротейтятся, один пох спать не может.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от пох. (?), 11-Янв-25, 14:11
	Никому кроме тебя и таких же как ты васянов - не нужна еще одна система "простая как полено". Мы не печки топим, у нас задачи чуток посложнее. Что ж до вас это никак не дойдет-то до сих пор?
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (-), 12-Янв-25, 20:21
	> Никому кроме тебя и таких же как ты васянов - не нужна > еще одна система "простая как полено". Мы не печки топим, у > нас задачи чуток посложнее. > Что ж до вас это никак не дойдет-то до сих пор? До лично меня уже дошло соотношение ваших скиллов, чсв и достигаемого результата. И именно поэтому лично я ваше мнение учитывать - не буду. Сами жрите свое д@рьмо за много денег, с кучей долботни и более 9000 тупых CVE (половину из которых я и сам знаю как эксплуатировать, мля). Не понимаю зачем мне вперлась защита трафа которую я сам вынести могу. Защищать меня от еще более тупых MITM? Так и шифр Цезаря прокатит.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от пох. (?), 12-Янв-25, 22:16
	> До лично меня уже дошло соотношение ваших скиллов, чсв и достигаемого результата ну уж конечно не одни-единственные умные воротца, да и те никто не купил. > И именно поэтому лично я ваше мнение учитывать - не буду. А мы - твое. Потому что мнение глубоко законспирированного васяна с единственным подкроватным локалхостом и таким же кругозором из под кровати - совершенно никому нахрен неинтересно. > Не понимаю зачем мне вперлась защита трафа да, я тоже не понимаю зачем она тебе вперлась, ты никому абсолютно нахрен не сдался. Можешь хоть телнетом своими воротами управлять.  Митмить их некому и незачем.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (63), 14-Янв-25, 10:51
	> ну уж конечно не одни-единственные умные воротца, да и те никто не купил. Да? И твой скилл привел тебя - куда? К рассказам как тебе на винде офигенно? Так даже пенс-гуманитарий может, лол. > А мы - твое. Вы это кто? Господа, которые скоро начнут хвастаться как ложку мимо рта не пронесли? > Потому что мнение глубоко законспирированного васяна с единственным > подкроватным локалхостом и таким же кругозором из под кровати - совершенно > никому нахрен неинтересно. А вот это уже не таким как ты решать. Мнение вывешено general public и они сами разберутся чье мнение кому по душе. Со своей стороны я считаю что будущее которое ты себе обеспечил выглядит "не очень" в дофига номинаций. >> Не понимаю зачем мне вперлась защита трафа > да, я тоже не понимаю зачем она тебе вперлась, ты никому абсолютно нахрен не сдался. Проверять это на своей тушке - ну нафиг. Было б оно правдой, не гребли бы данные лопатой все кому не лень. А ты можешь жить по своим принципам. Интересно, же, не выпишут ли тебе под шумок длительный отпуск. > Можешь хоть телнетом своими воротами управлять.  Митмить их некому и незачем. Ога, потом благодаря таким м...кам вон там школьник прямо под трамваем стрелки пультиком - чпок. Посмотреть что будет.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от пох. (?), 14-Янв-25, 11:17
	> Проверять это на своей тушке - ну нафиг. Было б оно правдой, не гребли бы данные лопатой > все кому не лень. повторяю - с твоих ворот - всем лень. И для майнинга они г-но, и для рассадника троянцев оно же - флэшка сыплется, и данные твои не нужны никому. Совершенно бесполезная хрень. Нет у тебя никаких ценных данных. Один параноидальный бред и чсв до неба. > Ога, потом благодаря таким м...кам вон там школьник прямо под трамваем стрелки пультиком школьник просто запихает в стрелку камушек. Потому что не порот, и воспитывался по системе монтесоря. А не потому что стрелка недостаточно безопастная. А подобрать пароль к телнету - не сможет, потому что во-первых не знает что есть телнет, во-вторых пароль слишком сложный - 132456, а не 123. За пять лет что я возился с грандстримами (это, на минуточку, телефония, где даже секунда траффика может стоить огого) никто почему-то ничего не подобрал. Да, телнет и пароль из шести символов. Нахрен потому что никому не надо.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–1 +/–
	Сообщение от Аноним (-), 12-Янв-25, 19:46
	> (и одно из них таки openvpn) так и продолжают. Да, поток CVE в этой штуке - и либе под ней - не даст соврать! Прикольно же, когда каокй-то хитрый атакующий сопрет приватный ключ heartbleed'ом. Или, вот, шустрый клиент - подменит собой сервер. Потому что мог. Дофига времени. В дефолтной конфиге. Или вот, какойто гадости пушнут, так что вы теперь - залетчики. Без этого жизнь была бы слишком скучна и предсказуема. Попробуй такие диверсии с вайргадом? А, там даже DNS Leak вызвать - заманаешься? Надо же, безобразие какое! > А вайргад - удел васянов с подкроватным локалхостом. Как и все твои самопалы. А, так клайдфларой икея владеет? Или где они столько кроватей нужного размера берут? > вы нахрен просто не нужны. Я заметил - по потугам DPI, врезки рекламы и прочей аналитики. > (и да, я совершенно уверен что васянские попытки как-то менеджить вайргады - Там уже такие васяны есть - что ты на их фоне вообще так, мелкая фигня. > хотя бы вот автоматически обновлять ключи регулярно - сплошное, законченное, Это вообще часть протокола - оно всегда оперирует эфемерными ключами. Те ключи только для начального хендшейка. PFS - в комплекте. Всегда. Без условий и оговорок. И роуминг endpoint'ов без отвала соединений. Не, опенвпн это как раз нормально и не умеет. Ни первое, ни второе. Ты в общем случае не знаешь ни какие эффективные гарантии защиты траффика, ни нормальный реконект при смене айпи и проч - без дропа сети на пол оно не умеет толком. > Ну а у тебя, наверняка, один ключ от всего, и не меняется > уже пять лет. Безопастно! Там для начала - PFS. Всегда. И даже если ты с314шь мой ключ здесь и сейчас - это никак не поможет тебе расшифровать трафик награбленый ранее. Потому что оно лишь согласовывало эфемерные ключи, которых уже - давно нет, с обоих сторон, ну и секрета DH - тоже. Я при всем желании их тебе не отдам, за их техническим отсутствием. Этот траф расшифровке не подлежит. После очередного re-neg раз в несколько минут. Это неотключаемое core механики. Гарантированное. В отличие от TLS убогого, где попробуй угадать вообще реальные свойства линка.
	Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

	58. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+2 +/–
	Сообщение от пох. (?), 12-Янв-25, 22:32
	> не даст соврать! Прикольно же, когда каокй-то хитрый атакующий сопрет приватный > ключ heartbleed'ом. Да никому твой ключ не нужен. А мой - нет, не сопрет. Потому что там нет приватного ключа который можно спереть. > Или, вот, шустрый клиент - подменит собой сервер. Потому что мог. Дофига Нет, не подменит. Потому что не мог - в реальной жизни, а не в лаборатории. У одного нет сертификата, у другого доступов. > времени. В дефолтной конфиге. тебе дятлу уже сказали - нет у openssl никакого "дефолтного конфига". >> хотя бы вот автоматически обновлять ключи регулярно - сплошное, законченное, > Это вообще часть протокола - оно всегда оперирует эфемерными ключами. Те ключи дятел. Ключи обновляют не ради твоего (тоже в общем нахрен не сдавшегося в реальном мире) pfs, а потому что вон того васяна (навроде тебя) - уволили "при помощи ноги" - не прошел испытательный срок. Тебе с твоим наколеночным подходом предстоит уникальный опыт - найти в паре тысяч ключей этого самого васяна, причем ключей у него по хорошему будет не один. И вот их все надо удалить за пятнадцать минут до окончания его последнего рабочего дня со всех систем. Здорово, да? Причем в большой конторе - рано или поздно васян уволится, забыв тебя поставить в известность. С доступом по сертификату беда небольшая - через месяц сертификат протухнет, а за новым васян уже не придет. А твои ключи - останутся во всех конфигах почти навечно - потому что вообще нет никакого способа узнать, чьи они. В любой большой конторе есть пяток незнамо куда незнамочьих торчащих vpn - которые не трогают потому что хз чье это и что сломается если. А с твоим подходом - будут тысячи. (те - site2site, а у тебя личные васянские так же будут) > Там для начала - PFS. Всегда. И даже если ты с314шь мой > ключ здесь и сейчас - это никак не поможет тебе расшифровать > трафик награбленый ранее. Потому что оно лишь согласовывало эфемерные ключи, которых кто, в здравом уме, будет хранить твой траффик, белка-истеричка?! И кому он вообще нахрен сдался-то? В лучшем случае его перехватят здесь и сейчас потому что могут. А если я сопру твой ключ - я получу кое-что гораздо более интересное - доступ к твоей сети. Впны, внезапно, для этого используют, а не для закапывания в песок. И с твоим подходом - я буду долго и счастливо этим доступом пользоваться, никто даже и не чирикнет. Жаль что содержимое твоей подкроватной сети нахрен никому не нужно тоже.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 13-Янв-25, 09:06
	>[оверквотинг удален] > Здорово, да? > Причем в большой конторе - рано или поздно васян уволится, забыв тебя > поставить в известность. С доступом по сертификату беда небольшая - через > месяц сертификат протухнет, а за новым васян уже не придет. А > твои ключи - останутся во всех конфигах почти навечно - потому > что вообще нет никакого способа узнать, чьи они. > В любой большой конторе есть пяток незнамо куда незнамочьих торчащих vpn - > которые не трогают потому что хз чье это и что сломается > если. А с твоим подходом - будут тысячи. > (те - site2site, а у тебя личные васянские так же будут) Вот тут, кстати и у OpenVPN'а грабли лежат - отозвать сертификат при увольнении сотрудника ты можешь и даже автоматически - а вот сходить по URL до CRL distribution point у ovpn - лапки, выгрузите сами и положите в пАпочку. И да, до появления поддержки каталогов в --crl-verify замена этого самого CRL на сколько-нибудь нагруженном (А не для-себя-и-кота) vpn могла быть тем еще шапито. (А способа сходить за CRL у клиента и вообще нет - ни один пользак "в папОчку CRL класть" не будет просто по тому, что не будет.) И это - вполне реальная (В отличие от достаточно гипотетической уизгвимости с типом сертификата) проблема - но т.к. аноним тот впн в глаза не видел, а в журнале хакер.ру про особенности эксплуатации не написали - приходится вот тем вот трясти-скакать...
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от пох. (?), 14-Янв-25, 11:26
	> для-себя-и-кота) vpn могла быть тем еще шапито. (А способа сходить за > CRL у клиента и вообще нет - ни один пользак "в ну нафига я буду отзывать сертификат сервера-то? Если клиент ухитряется подключиться к чуждому серверу, и в том еще и мой сертификат - тут контору закрывать надо с чувством выполненного долга и расходиться, тут уже ничего не исправить. Да и заменить-то сертификат нерешаемая задача, проще тоже закрыться. А на серверной стороне - ну да, надо перезапускать всю балалайку, по крайней мере раньше было надо, с отвалом соединений, но кому ж тех юзеров жалко. (а кому было жалко - используют нормальный ipsec с xauth в AD, за овердохрена денег, потому что шва6одкиные решеньица - мертвенькими родились. Любов требует жерть, чо вы хотели-то.)
	Ответить | Правка | Наверх | Cообщить модератору

	71. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 14-Янв-25, 12:54
	>> для-себя-и-кота) vpn могла быть тем еще шапито. (А способа сходить за >> CRL у клиента и вообще нет - ни один пользак "в > ну нафига я буду отзывать сертификат сервера-то? Если клиент ухитряется подключиться к > чуждому серверу, и в том еще и мой сертификат - тут > контору закрывать надо с чувством выполненного долга и расходиться, тут уже > ничего не исправить. Да и заменить-то сертификат нерешаемая задача, проще тоже > закрыться. Ну, теоретически компроментация серверного сертификата (с этим самым MITM'ом в последствии) - возможна (Васян уволился - и все, к чему он имел доступ...). А способов _штатно_ её обработать - нет, бери телефон и - вот обзванивай. Не то, чтобы прям "нужно-нужно" было, но. > А на серверной стороне - ну да, надо перезапускать всю балалайку, по > крайней мере раньше было надо, с отвалом соединений, но кому ж > тех юзеров жалко. Ну вот в районе 2.4-2.5 сделали возможность скормить в директиву --crl-verify не файл с CRL а пАпочку с файликами имя_файла=SN-отозванного-сертификата и можно уже и без перезагрузки обойтись. > (а кому было жалко - используют нормальный ipsec с xauth в AD, > за овердохрена денег, потому что шва6одкиные решеньица - мертвенькими родились. Любов > требует жерть, чо вы хотели-то.) Ну в общем да - _нормальных_ вариантов на шарике есть.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–2 +/–
	Сообщение от Аноним (64), 14-Янв-25, 11:14
	> Да никому твой ключ не нужен. А мой - нет, не сопрет. > Потому что там нет приватного ключа который можно спереть. А мне пофиг. Вайргад проще нарулить и лучше свойства линка, и это - гарантированно. И конекции при смене IP клиента или сервера - не дропаются, прозрачный роуминг. > Нет, не подменит. Потому что не мог - в реальной жизни, а > не в лаборатории. У одного нет сертификата, у другого доступов. Сертификат ему - внезапно - выпишет тот же CA. Как +1 клиенту впна. Эти атаки реально и массово практиковались. Собссно когда все совсем уж начали наглеть, вскрывая оптом, они и прописали проверку типа серта по дефолту. Но до этого несколько лет те кто хлопал клювом могли получить простой и эффективный нежданчик, налив траф - совсем не тому. > тебе дятлу уже сказали - нет у openssl никакого "дефолтного конфига". А ничего что у openvpn - очень даже есть дефолты, на состояние фич которые в конфиге не прописаны? Кроме всего прочего - и вон то тоже там рулится. Как я уже сказал - TLS это такое барахло которым корректно умеет пользоваться очень немного программ, и openvpn приблизился к этому состоянию лишь относительно недавно, а до этого - на ура подставлял пользаков. > Ключи обновляют не ради твоего (тоже в общем нахрен не сдавшегося в > реальном мире) pfs, а потому что вон того васяна (навроде тебя) > - уволили "при помощи ноги" - не прошел испытательный срок. Это ваши внутригалерные проблемы, имхо. Мне это не интересно. > Тебе с твоим наколеночным подходом предстоит уникальный опыт - найти в паре > тысяч ключей этого самого васяна, Кому это все было надо - сделали себе небольшой довесок-апи. Не обязательно же все запихивать в 1 макаронный монстр, можно делать и модульные системы. А когда в фикалье типа сабжа более 9000 фич, безопасно им пользоваться - даже профессор ракетных наук может облажаться. И зачем он такой? > месяц сертификат протухнет, а за новым васян уже не придет. А, то-есть уволенный васян может месяц шарахаться по энтерпрайзу? Безопаснички блин. > В любой большой конторе есть пяток незнамо куда незнамочьих торчащих vpn - И хрен с ними. Это все их довольно нишевые проблемы. > кто, в здравом уме, будет хранить твой траффик, белка-истеричка?! И кому он > вообще нахрен сдался-то? Попробуй почитать свое законодательство например для ответа на этот вопрос? Там у тебя пров обязан уже полгода, чтоли твоего мусора держать. Видя такой шоукейс - как говорится, "надейся на лучшее, готовься к хучшему". В смысле никто мне не гарантирует в эффективном виде что такое не откаблучит и мой пров. А еще бывают кафушки с открытой вафлей и там кто угодно может попробовать прикалываться. > В лучшем случае его перехватят здесь и сейчас потому что могут. А > если я сопру твой ключ - я получу кое-что гораздо более > интересное - доступ к твоей сети. Тем не менее, урон логично минимизировать по возможности. И есть немало способом это достичь. Если ты сопрешь например, вон тот ключ wg то это тебе очень мало что даст. > И с твоим подходом - я буду долго и счастливо этим доступом > пользоваться, никто даже и не чирикнет. Жаль что содержимое твоей подкроватной > сети нахрен никому не нужно тоже. А кто тебе сказал что я иногда не рекею линки? Но в силу структуры этой штуки твой хитрый план все же немного обломается :)
	Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

	70. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от пох. (?), 14-Янв-25, 12:07
	> А мне пофиг. Кексперт же ж. > Вайргад проще нарулить для васянского подкроватного сервера в единственном экземпляре - проще. Но смысла никакого - никому ты не нужен. Для команды хотя бы человек в десять, которые еще и приходят-уходят - нет, не проще. Да еще и виндовый клиент полное невменько. А это уровень подвального васян-и-братва. Для которых примерно и предназначен openvpn. А еще бывают повзрослевшие васяны, переехавшие из подвала в семиэтажный офис, но части инфраструктуры притащившие из тех, далеких времен. У тех еще свои проблемы бывают, подвальным неведомые. То и другое далеко за пределами твоих кекспертных навыков.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 14-Янв-25, 13:52
	>[оверквотинг удален] > Сертификат ему - внезапно - выпишет тот же CA. Как +1 клиенту > впна. Эти атаки реально и массово практиковались. Собссно когда все совсем > уж начали наглеть, вскрывая оптом, они и прописали проверку типа серта > по дефолту. Но до этого несколько лет те кто хлопал клювом > могли получить простой и эффективный нежданчик, налив траф - совсем не > тому. >> тебе дятлу уже сказали - нет у openssl никакого "дефолтного конфига". > А ничего что у openvpn - очень даже есть дефолты, на состояние > фич которые в конфиге не прописаны? Кроме всего прочего - и > вон то тоже там рулится. Так пруф-то будет, м? Очень интересно, что у _анонима_ в "дефолтном конфиге". Что у openvpn - я знаю, а у анонима? Интрига...
	Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

	21. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+3 +/–
	Сообщение от User (??), 09-Янв-25, 15:30
	Уф. Если под "типом сертификата" вы понимаете nsCertType - то тут все вопросы к openssl, его в чистом виде где-то в районе 1.1 депрекейтнули, а стандартом оно и не было никогда. Если вы про extendedkeyusage который serverAuth\clientAuth - то формально они даже совершенно правы и все вопросы к IETF: RFC 5280 т.к. формально он на всю бошку optional и - по замыслу отсосдателей - должен использоваться исключительно для "TLS WWW server authentication" а не для всякого там опенвэпээна. Проверять KU\EKU и считать, что этого достаточно - это надо даже не "разработчиком OpenVPN" быть а прям даже "экспертом opennet". (Вот то, что эта борода _все еще_ не умеет в проверку соответствия SAN (Не, ну формально - дергай скрЫпт в --tls-verify и хоть запроверяйся) таки бида-огорчение. Т.е. и тут конечно можно дiдам в бороды наплевать и на RFC2818 пожаловаться - одни не подумали про несколько DNS-имен, другие deprecate'нули использование CN в этом качестве и напихали возможностёв в альтернативу (Сложьна!) - но то уже совсем в пользу бедных будет. ) Вместо этого все давно уже используют verify-x509-name - а кто икспердт, слышал звон и читал не тот хаутуй - тот может однажды удивиться, что CA оказывается может более одного сертификата с EKU 1.3.6.1.5.5.7.3.1 выписать - и громко жаловаться в спортлото на "небезопасность openvpn" потом.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	26. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от нах. (?), 09-Янв-25, 19:08
	> CA оказывается может более одного сертификата с EKU 1.3.6.1.5.5.7.3.1 выписать ну если тебе ломанули CA - то он выпишет (себе) и с правильным x509-name, столько, сколько понадобится васяну. А тут прикол был в том, что и выписывать ничего не надо - уже ж выписан, на твое честное имя, берешь и пользуешь в качестве серверного, зуб даю - сервер я! Увизгвимость, разумеется, исключительно теоретическая, потому что зачем ты в той стремной лабе полез подключаться к корпоративной сетке - совершенно непонятно. А если "коллеги" тебе такое прямо в сети предприятия устроили - то тут не впн чинить надо, а съ36ывать за границу, прихватив на память чей-нибудь чужой ноутбук, а то завтра они этим не ограничатся и на мясо тебя продадут.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 09-Янв-25, 19:46
	> ну если тебе ломанули CA - то он выпишет (себе) и с правильным x509-name, столько, сколько понадобится васяну. Почему "ломанули"? Зачем "ломанули"? Просто берешь _любой_ выписанный этим же CA серверный сертификат и пионЭр с "типом сертификата" и чувством глубокой защищенности из хаутуя идёт... ну вот туда и идет. А про то, что под ovpn оказываецца! (не) нужно отдельный (intermediate) CA заводить - в прионЭрских хаутуях не писано.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от нах. (?), 09-Янв-25, 20:02
	ну такоэ тож... у чувака с выписанным корп-CA сертификатом хоть чего-нибудь тоже дофига интересных возможностей без всякого openvpn. (от intermediate толку мало, нужно просто отдельный CA, которому незачем вовсе быть в корпоративной PKI, этот серт выписывается один раз и навсегда, можешь все запчасти от того CA сразу после этого удалить нахрен вместе с закрытым ключом, мы им никогда и ничего больше подписывать не будем) То что в openvpn нельзя просто сделать key pining без всякого "ca" - в общем-то вопрос к его разработчикам, видимо, черезмерно увлекавшимися корпоративными игрищами в ущерб надежности и простоте.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 09-Янв-25, 20:13
	> ну такоэ тож... у чувака с выписанным корп-CA сертификатом хоть чего-нибудь тоже > дофига интересных возможностей без всякого openvpn. MITM на оборудовании мы организовать уже можем - а "найти" сертификат еще нет? Ну... бывает. > (от intermediate толку мало, нужно просто отдельный CA, которому незачем вовсе быть > в корпоративной PKI, этот серт выписывается один раз и навсегда, можешь > все запчасти от того CA сразу после этого удалить нахрен вместе > с закрытым ключом, мы им никогда и ничего больше подписывать не > будем) Ну, depends on. Я бы скорее сказал, что перспективу управлять мульеном разных CA ИБ в гробу видела - но тут возможны варианты вплоть до того, что CA в веденьи инфры, а не безов оказывается... > То что в openvpn нельзя просто сделать key pining без всякого "ca" > - в общем-то вопрос к его разработчикам, видимо, черезмерно увлекавшимися корпоративными > игрищами в ущерб надежности и простоте. Аминь.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от нах. (?), 09-Янв-25, 21:01
	> MITM на оборудовании мы организовать уже можем - а "найти" сертификат еще нет? ну как бы да, обычно это сильно разные направления. Хотя, конечно, надо просто попросить. (но тогда и взламывать впн не понадобится) > Ну, depends on. Я бы скорее сказал, что перспективу управлять мульеном разных CA ИБ в > гробу видела ну вот авторы видимо как раз такой подход и имели в виду - что сертификат подтверждает не столько валидность сервера, сколько то что кому-то _разрешили_ содержать этот сервер. В реальной жизни разумеется - разрешение где-то отдельно, а какой там сертификат - иб никогда и не проверит.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 10-Янв-25, 14:04
	> То что в openvpn нельзя просто сделать key pining без всякого "ca" > - в общем-то вопрос к его разработчикам, видимо, черезмерно увлекавшимися корпоративными > игрищами в ущерб надежности и простоте. Кстати, забавно - но похоже уже можно :) "--peer-fingerprint args Specify a SHA256 fingerprint or list of SHA256 fingerprints to verify the peer certificate against. The peer certificate must match one of the fingerprint or certificate verification will fail. The option can also be inlined When the --peer-fingerprint option is used, specifying a CA with --ca or --capath is optional. This allows the he --peer-fingerprint to be used as alternative to a PKI with self-signed certificates for small setups. See the examples section for such a setup. "
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	41. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от нах. (?), 10-Янв-25, 14:25
	хорошая новость. И можно, действительно, навсегда оставить self-signed.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–1 +/–
	Сообщение от Аноним (-), 10-Янв-25, 12:56
	> Уф. Если под "типом сертификата" вы понимаете nsCertType - то тут все > вопросы к openssl, Это - вранье, или некомпетенция. В OpenVPN даже директива с проверкой типа серта для конфига - была дофига. Но - вот - неактивная по дефолту, пока это не стало совсем уж общеизвестной антифичой, расписаной в каждом FAQ для кулхацкеров. А когда репутация стала совсем сливаться - там они конечно расчехлились. Но вскоре пришел wg и дал этим дурням мастеркласс как это надо было делать правильно.а А кроме сабжевого CVE у сабжа дыр вооьще - хватало. Потому что идея тянуть с сервера конфигурацию сети - да еще в эвон каком объеме - by design достаточно стремная. А TLS/SSL корректно использовать - не умеет из программ почти никто. Ну может кроме браузеров. И то. > депрекейтнули, а стандартом оно и не было никогда. > Если вы про extendedkeyusage который serverAuth\clientAuth Я не помню какое там поле серта за это отвечает, охота мне в этим энтерпрайз какахах копаться, аж два раза. Но помню что у OpenVPN была отдельная директива конфига - проверять тип серта. И вот тогда - атака не катила. Но эта фича была энное время выключена по дефолту - и чтоб не получить граблей надо было ЯВНО активировать это дело. Чего конечно почти никто не делал. Зачем так? А спросите у этих чудаков. > правы и все вопросы к IETF: RFC 5280 т.к. формально он на всю бошку optional Мне все равно, IETF там, RFC, или кто. Если меня может MITM в дефолтной конфиге огреть если я не станцую эвон чего - это плохое решение для VPN, не выполняющее свои функции защиты трафика. > Проверять KU\EKU и считать, что этого достаточно - это надо даже не > "разработчиком OpenVPN" быть а прям даже "экспертом opennet". В вон том случае - это даже работает. Потому что _та_ CA как правило эти серты - автогенерит, каждому клиенту, ну а серт должен быть подписан именно вон той CA. И в этом случае атакующему - если он не админ сервера с этой CA - вот, как максимум, светит получить обычный клиентский серт, как 1 из юзерей VPNа. А вот то что он в дефолтной конфиге потом сможет сервер VPN изобразить с своим клиентским сертом, и проверка пройдет, ибо CA правильная и серт валиден, а то что он клиентский всем пофиг... ...да, вы правы, на самом деле это вообще повод не пользоваться TLS как таковым. > в альтернативу (Сложьна!) - но то уже совсем в пользу бедных будет. ) К счастью вон там уже появилось рещение которое прсото работает - защищает канал - без заучивания 20-этажных заклинаний и уборки капканов с поля. > Вместо этого все давно уже используют verify-x509-name Не. Вместо этого все кому надо было - защиту канала - при минимуме возни и подстав - просто wg поюзали и забыли вон то как страшный сон. И да, появилось полно сервисов умеющих и атвтогенерацию ключей и менеджмент клиентов: свято место пусто не бывает!
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	39. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 10-Янв-25, 13:56
	>> Уф. Если под "типом сертификата" вы понимаете nsCertType - то тут все >> вопросы к openssl, > Это - вранье, или некомпетенция. В OpenVPN даже директива с проверкой типа > серта для конфига - была дофига. Ну я и говорю - некомпетентность. Была, была директива --ns-cert-type - но того-этого... вся вышла следом за openssl'ем. Потом да, заменили на --remote-cert-(ku|eku|tls) - но по вышеописанным причинам называть ЭТО "типом сертификата" - ну, такоэ. > Но - вот - неактивная  по дефолту, пока это не стало совсем уж общеизвестной антифичой, расписаной в каждом FAQ для кулхацкеров. Уф. Ну, т.е. я конечно пред-по-ла-га-ю, что OpenVPN вы ТОЖЕ кроме как в журнале "Хакер" нигде не видели - но что вы подразумеваете под "дефолтом" в отношении openvpn? И, главное - что вы хотите видеть в качестве этого самого "дефолта"? > А когда репутация стала совсем сливаться - там они конечно расчехлились. И каким же это образом? Очень интересно узнать! > Но вскоре пришел wg и дал этим дурням мастеркласс как это надо > было делать правильно.а Ииии, как? Как проблему тяжкого legacy x.509 помогает решать WG? >> депрекейтнули, а стандартом оно и не было никогда. >> Если вы про extendedkeyusage который serverAuth\clientAuth > Я не помню какое там поле серта за это отвечает, охота мне > в этим энтерпрайз какахах копаться, аж два раза. Но помню что > у OpenVPN была отдельная директива конфига - проверять тип серта. И > вот тогда - атака не катила. Но эта фича была энное > время выключена по дефолту - и чтоб не получить граблей надо > было ЯВНО активировать это дело. Чего конечно почти никто не делал. > Зачем так? А спросите у этих чудаков. Ну вот если бы вы чего знали - про x509, openssl, openvpn - вопросов бы меньше было, да. >> правы и все вопросы к IETF: RFC 5280 т.к. формально он на всю бошку optional > Мне все равно, IETF там, RFC, или кто. Если меня может MITM > в дефолтной конфиге огреть если я не станцую эвон чего - > это плохое решение для VPN, не выполняющее свои функции защиты трафика. Охтыж. Еще раз, для openvpn'а в глаза не видевших - _не существует_ "дефолтовой конфиги" openvpn, вы её для подключения к серверу сами написать должны - и что вы в неё впишете ответственность в общем-то ваша, а не openvpn'а, компренде? Если вы хотите сказать, что _минимальный_ набор параметров, позволяющих выполнить подключение к удаленному серверу не обеспечивает надлежащий уровень безопасности - то вы даже будете правы, но если прочитаете написанное выше - то поймете, что у господ в распоряжении было вот ровно два стула - или VPN _не будет работать_ с формально валидными сертификатами - или ну... вот... конечному эксплуатанту придется включать голову. Более того, даже если вы таки да, будете требовать наличия соответствующих KU\EKU в сертификате - _нормальный_ уровень безопасности без включения головы достигнут все равно не будет, ибо - см. выше. >> Проверять KU\EKU и считать, что этого достаточно - это надо даже не >> "разработчиком OpenVPN" быть а прям даже "экспертом opennet". > В вон том случае - это даже работает. Потому что _та_ CA > как правило эти серты - автогенерит, каждому клиенту, ну а серт > должен быть подписан именно вон той CA. Уффф... и снова повеяло экспертизой. Даже уточнять, что именно имелось в виду не стану во избежание. > И в этом случае атакующему - если он не админ сервера с > этой CA - вот, как максимум, светит получить обычный клиентский серт, > как 1 из юзерей VPNа. А вот то что он в > дефолтной конфиге потом сможет сервер VPN изобразить с своим клиентским сертом, > и проверка пройдет, ибо CA правильная и серт валиден, а то > что он клиентский всем пофиг... Проверка KU\EKU в данном случае премерзкий кривой костыль, который не то, чтобы добавляет особой безопасности. Нормальное решение - см. выше, но у разрабов - лапки, а до _нормального_ workaround'а ъ-форчун-500-энтерпрайз-админы не дочитали. > ...да, вы правы, на самом деле это вообще повод не пользоваться TLS > как таковым. Не пользуйтесь! >> в альтернативу (Сложьна!) - но то уже совсем в пользу бедных будет. ) > К счастью вон там уже появилось рещение которое прсото работает - защищает > канал - без заучивания 20-этажных заклинаний и уборки капканов с поля. Ну вот конкретно с этим - оно справляется, да. Не то, чтобы хорошо - но как-то. Вот только openvpn сииииильно не только про "защиты канального уровня", да? >> Вместо этого все давно уже используют verify-x509-name > Не. Вместо этого все кому надо было - защиту канала - при > минимуме возни и подстав - просто wg поюзали и забыли вон > то как страшный сон. И да, появилось полно сервисов умеющих и > атвтогенерацию ключей и менеджмент клиентов: свято место пусто не бывает! Ну, да - если вам нужно вот только это - пуркуа бы не па. А вот вопрос наличия\отстутствия аналогичного рода уязвимостей в этих самых "сервисах автогенерации и менеджмента клиентов" требует своего исследователя - предполагаю, их там на полтора ipsec'а в сумме наберется ).
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (-), 12-Янв-25, 20:18
	> Ну я и говорю - некомпетентность. Была, была директива --ns-cert-type - но > того-этого... вся вышла следом за openssl'ем. > Потом да, заменили на --remote-cert-(ku|eku|tls) - но по вышеописанным причинам > называть ЭТО "типом сертификата" - ну, такоэ. Ну вы там камлайте на ритуалы, а у меня в wg более предпочтительные свойства линка - сразу. Без условий и оговорок, талмудов и проч. Мне так больше нравится. Равно как поведение при смене IP/ребуте роутера/etc. Мне видите ли - результат. Чем меньше процесса - тем лучше. > в журнале "Хакер" нигде не видели - но что вы подразумеваете > под "дефолтом" в отношении openvpn? Внезапно - внутреннее состояние фичи в программе, если не указать параметры в конфиге опенвпн явно! И, конечно, далеко не все конфиги - допирали активировать проверку типа серта. Там характерная директива для проверки типа серта, ман читайте. На память я ее не помню уже: при наличии wg засорять мозг этим мусором - излишне. > И, главное - что вы хотите видеть в качестве этого самого "дефолта"? Отвечать будет Друзь^W J. Donfield в своей программе wg :). Да, на самом деле я вообще не хотел делать себе мозг таким булшитом. Но по дефолту ессно должно чекать сервер это или клиент, коли клиентский серт - оказывается - подписан той же CA - и поэтому можно им и сервак откосплиеть, так что конект - совсем не к тому endpoint, оказывается. И все что хаксору для успешного MITM надо - стать клиентом того же впна. Не больно какое крутое требование. После чего можно было нагло MITMать всех клиентов этого VPN, CA то у серта правильный и серт валиден. Просто клиентский, такая вот мелочь. >> А когда репутация стала совсем сливаться - там они конечно расчехлились. > И каким же это образом? Очень интересно узнать! Не образом, батюшка, подсвешником! Таки и параметр проверки типа серта сделали и с неких пор и активировали. Но в секурити - я злопамятный, годы игнора траблы и подстав в дефолтах - не забываю. > Ииии, как? Как проблему тяжкого legacy x.509 помогает решать WG? Предоставляя куда более почтенные свойства линка. Гарантирванно. Быстро. С нормальным роумингом. Без всего этого миндфака! > Ну вот если бы вы чего знали - про x509, openssl, openvpn - вопросов бы меньше было, да. Я wg узнал. И теперь можно optimize out этот ненужный мусор. Меньше знаний при более удачном свойстве решения == профит. > Охтыж. Еще раз, для openvpn'а в глаза не видевших - _не существует_ > "дефолтовой конфиги" openvpn, Вообще-то, при конекте, есть состояние параметров по дефолту, когда они не прописаны явно в конфиге опенвпна. И если вы этого не знаете - тут можно поговорить кто там что (не) видел. И вот тут - дефолты решают. > ваша, а не openvpn'а, компренде? А как показал пример wg можно достичь более приличных свойств линка - без всего этого брейнфака и места для лажи. Это хорошо и правильно. > Уффф... и снова повеяло экспертизой. Даже уточнять, что именно имелось в виду не стану во избежание. Что тут уточнять? Для типичного опенвпн в вакууме получить клиентский серт став клиентом этого впн не больно какая проблема. После чего можно влет закосить уже под сервер - и остальные клиенты купятся на это, точнее, с неких пор они таки - доперли тип серта чекать, но раньше изумительно велись на это. Такой вот впн, с дырой размером с вагон. > Проверка KU\EKU в данном случае премерзкий кривой костыль, который не то, чтобы > добавляет особой безопасности. Атакующий чаше всего не имеет контроля как ему серт делать - ему ремота генерит, и дают ему - серт и конфиг впна, как очередному клиенту. Контроля над тем что внутри серта при этом у атакующего нет. Что дали в клиентском серте то и есть. А если ЭТИМ можно СЕРВЕР впн косплеить (у него серт подписан ТЕМ ЖЕ CA как правило, внезапно) - вот это да, лол! > Не пользуйтесь! Я и забыл сабж как страшный сон. И да, "dont rely on just TLS for data security" (C) рекомендация NSA. > Ну вот конкретно с этим - оно справляется, да. Не то, чтобы хорошо - но как-то. Лучше других. С сильно меньшими объемами вулнов, кода и проблем. И роуминг нормально смогло, в отличие от тех страшил. И сервака, и клиента. Любой может на лету менять айпи и даже TCP соединения в линке - не порвутся. > Ну, да - если вам нужно вот только это - пуркуа бы не па. Кому были нужны всякие уровни менеджмента клиентов и проч - прекрасно нарисовали себе апи всего этого, благо оно достаточно простая штука.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 12-Янв-25, 21:45
	>> Ну я и говорю - некомпетентность. Была, была директива --ns-cert-type - но >> того-этого... вся вышла следом за openssl'ем. >> Потом да, заменили на --remote-cert-(ku|eku|tls) - но по вышеописанным причинам >> называть ЭТО "типом сертификата" - ну, такоэ. > Ну вы там камлайте на ритуалы, а у меня в wg более > предпочтительные свойства линка - сразу. Без условий и оговорок, талмудов и > проч. Мне так больше нравится. Равно как поведение при смене IP/ребуте > роутера/etc. Мне видите ли - результат. Чем меньше процесса - тем > лучше. Ну, т.е. о чем тебе пишут - ты не понял, да? Ну так ты сразу так и скажи - "ЯННП, объясните дяденька!" а не вот это вот - "у слона есть хобот, хобот похож на червя - а вот чееерви!" >> в журнале "Хакер" нигде не видели - но что вы подразумеваете >> под "дефолтом" в отношении openvpn? > Внезапно - внутреннее состояние фичи в программе, если не указать параметры в > конфиге опенвпн явно! И, конечно, далеко не все конфиги - допирали > активировать проверку типа серта. Там характерная директива для проверки типа серта, > ман читайте. На память я ее не помню уже: при наличии > wg засорять мозг этим мусором - излишне. Ну да, конечно. У верующего - одна книга, в ней все, что нужно - и написано. А чего в КНИГЕ нет - того верующему знать и не требуется. "Главное - ВЕРИТЬ!", ага. >> И, главное - что вы хотите видеть в качестве этого самого "дефолта"? > Отвечать будет Друзь^W J. Donfield в своей программе wg :). Да, на > самом деле я вообще не хотел делать себе мозг таким булшитом. > Но по дефолту ессно должно чекать сервер это или клиент, Ну вот прикинь - с т.з. x509 сертификат "клиента" отличается от сертификата "сервера" вот "никак". Опциональный экстеншн там конечно есть - но с т.з. отсосдателей он строго для другого предназначен. Сюрприииз! И вот с твоим аффигенно верным дефолтом валидный сертификат у тебя есть - а ничо не работает и кто при этом виноват? >>> А когда репутация стала совсем сливаться - там они конечно расчехлились. >> И каким же это образом? Очень интересно узнать! > Не образом, батюшка, подсвешником! Таки и параметр проверки типа серта сделали и > с неких пор и активировали. Но в секурити - я злопамятный, > годы игнора траблы и подстав в дефолтах - не забываю. Ухтыжлапочка ты моя! А слабо открыть man и посмотреть - ну хоть раз не в "ответы mail.ru" а в сам openvpn? Что там _реально_ сейчас "в дефолте"(ТМ)? Узнаешь оооочень много нового-и-интересного, доаа. >> Ииии, как? Как проблему тяжкого legacy x.509 помогает решать WG? > Предоставляя куда более почтенные свойства линка. Гарантирванно. Быстро. С нормальным > роумингом. Без всего этого миндфака! Ну, т.е. "никак" он эти проблемы не решает. Ни-как. А ты опять не понял, что у тебя спрашивают. Традиции - залог благополучия! >> Ну вот если бы вы чего знали - про x509, openssl, openvpn - вопросов бы меньше было, да. > Я wg узнал. И теперь можно optimize out этот ненужный мусор. Меньше > знаний при более удачном свойстве решения == профит. Возьми с полки пирожок, Незнайка. Ну или банан с ветки сорви... >> Охтыж. Еще раз, для openvpn'а в глаза не видевших - _не существует_ >> "дефолтовой конфиги" openvpn, > Вообще-то, при конекте, есть состояние параметров по дефолту, когда они не прописаны > явно в конфиге опенвпна. И если вы этого не знаете - > тут можно поговорить кто там что (не) видел. Ииии? И что там у тебя "по дефолту" сейчас, м? Будь ласка, сделай усилия - посмотри? >> ваша, а не openvpn'а, компренде? > А как показал пример wg можно достичь более приличных свойств линка - > без всего этого брейнфака и места для лажи. Это хорошо и > правильно. Можно конечно. Даже без wg - но конкретно эти рукокрылые нормальное (Не вот то, которое вы талдычите!) - ниасилили. >> Уффф... и снова повеяло экспертизой. Даже уточнять, что именно имелось в виду не стану во избежание. > Что тут уточнять? Для типичного опенвпн в вакууме получить клиентский серт став > клиентом этого впн не больно какая проблема. Понимаете... в общем случае - нет гарантий, что CA используется только-и-исключительно вот для openvpn'а. Т.е. у сервис-провайдера-то наверное есть - ну так они и клиентскую конфигу правильно генерят, да? >> Не пользуйтесь! > Я и забыл сабж как страшный сон. И да, "dont rely on > just TLS for data security" (C) рекомендация NSA. Браузер выкинуть не забыл? Все равно ж фигню пишешь - даже и не потеряешь ничего! >> Ну вот конкретно с этим - оно справляется, да. Не то, чтобы хорошо - но как-то. > Лучше других. С сильно меньшими объемами вулнов, кода и проблем. И роуминг > нормально смогло, в отличие от тех страшил. И сервака, и клиента. > Любой может на лету менять айпи и даже TCP соединения в > линке - не порвутся. Это конечно плюс, да. Но вот дiды - при всем моем спесссфисском к ним отношении - догадаться приколотить ESP гвоздями к одному единственному des как-то... не догадались, да. А коли б догадались - то им бы конечно сильно-сильно проще было. >> Ну, да - если вам нужно вот только это - пуркуа бы не па. > Кому были нужны всякие уровни менеджмента клиентов и проч - прекрасно нарисовали > себе апи всего этого, благо оно достаточно простая штука. Ну да. "Кто-то другой сделает!", а "мне и так хорошо" - чоужтам.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (-), 14-Янв-25, 11:46
	> Ну, т.е. о чем тебе пишут - ты не понял, да? Ну > так ты сразу так и скажи - "ЯННП, объясните дяденька!" а Нафиг мне ваши объяснения о ненужном? Я даже и не читал. Цель VPN это поднять защищенный линк, а не камлать на ваши 20-этажные ритуалы. Чем больше ритуалов - тем больше способов прострела пяток - и д@рьмовее и менее безопаснее решение в целом. Сабж далеко не единственный CVE в _этом_. Можно взять и сравнить число CVE в том и другом :). Для ovpn придется приплюсовать также CVE от openssl'я. Коих в избытке. > верующему знать и не требуется. "Главное - ВЕРИТЬ!", ага. Я верю. В скиллы Донфилда и что он лучше "designed by comittee" знает что делает. Это видно. По его коду, общей логике протокола, подборке алго и дизайну в целом. > Ну вот прикинь - с т.з. x509 сертификат "клиента" отличается от сертификата > "сервера" вот "никак". Опциональный экстеншн там конечно есть - Дефолтовая генерация опенвпна с неких пор таки генерит разные серты и клиент - вот - научили отличать. Потому это в все HOW TO кулхацкеров уже вошло. Зато глядя на вас и noxoнaxoв я понимаю как даже кидисы с легкостью выносят энтерпрайзы. У вас эффективность - картонного щита. > Ухтыжлапочка ты моя! А слабо открыть man и посмотреть - ну хоть > раз не в "ответы mail.ru" а в сам openvpn? Аксиома: хорошее решение - безопасно по дефолту. Без танцев кан-кана. > не понял, что у тебя спрашивают. Традиции - залог благополучия! Я уже так и понял что эта мантра у вас - традиционная. Зато я теперь посмотрев на вас понимаю как вон те так легко тусят в энтерпрайзах. Есть очень большая разница в уровнях, и совсем не в вашу пользу. > Ииии? И что там у тебя "по дефолту" сейчас, м? Будь ласка, > сделай усилия - посмотри? Не вижу смысл тратить время на то чем я уже не пользуюсь и не планирую. > Понимаете... в общем случае - нет гарантий, что CA используется только-и-исключительно > вот для openvpn'а. Я конечно понимаю что с TLS вообще и openvpn как его представителя можно собрать совершенно хтонические конструкции. Но это вовсе и не фича для безопасности. > Т.е. у сервис-провайдера-то наверное есть - ну так > они и клиентскую конфигу правильно генерят, да? Как показали натурные эксперименты - полнейшая лотерея. В свое время в половину приходилось явно мануально дописывать. Самому. А сейчас - сейчас я уже забыл эти ритуалы, вместе с названием параметра. К счастью. Нахрен мне это знание. Цель была совсем не в этом, а в защите линка. >> "dont rely on just TLS for data security" (C) рекомендация NSA. > Браузер выкинуть не забыл? Все равно ж фигню пишешь - даже и не потеряешь ничего! Я никогда не рассматриваю браузерный https сам по себе как нечто достаточное для чувствительных применений. Потому что умею читать. NSA все сказали, я услышал. > к ним отношении - догадаться приколотить ESP гвоздями к одному единственному > des как-то... не догадались, да. А коли б догадались - то > им бы конечно сильно-сильно проще было. Ну как бы DES еще на заре считался небезопасным и тормозным одновременно. А на ту подборочку алго никаких компроматов не нашлось особо за довольно много лет. А отсуствие более 9000 опций... 1) Не требует греть мозг дофига узкоспециализированного знания. Хорошо разбираться в крипто это вообще совсем не для всех. Я в нем не так уж плох, но с макаронным монстром типа libssl лажа может выйти даже у меня. А многие другие и столько о крипто не знают. 2) Невозможно прострелить пятки малоочевидными способами, типа DNS leak какого-нибудь или еще какой экзотики. 3) Свойства линка заранее известны, предсказуемы, просты в понимании. Никаких ложных ожиданий, обломов и залетов. 4) Минимум подстав и интрузива в дизайне этой штуки. > Ну да. "Кто-то другой сделает!", а "мне и так хорошо" - чоужтам. Вообще-то разделение труда ничем таким не плохо. А вот здоровенный летающий макаронный монстр в вопросах информационной безопасности - заявка на залет, с чем у сабжа никаких проблем как раз исторически не было.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 14-Янв-25, 13:18
	> Нафиг мне ваши объяснения о ненужном? Я даже и не читал. Ну вот с этого и надо было начинать диалог, да? "Я ничего не понял, дяденька - можете даже и не объяснять, сложьна оченнно!" - я б и не старался. > Чем больше ритуалов Да-да. Называть терминологию предметной области "ритуалами" это конечно замечательно - но если придется общаться с кем-то кроме кота - ну вот проблемочки будут. >> верующему знать и не требуется. "Главное - ВЕРИТЬ!", ага. > Я верю. И веруйте дальше. Важный для айтишника скилл, без сомнения. > Дефолтовая генерация опенвпна с неких пор таки генерит разные серты и клиент > - вот - научили отличать. Потому это в все HOW TO > кулхацкеров уже вошло. Ну вот не видел ты ни разу openvpn - ну ты так и скажи: "дяденька, я его в глаза не видел, только wireguard знаю, и тот по картинке" а не это вот. Чу-душ-ко, где ж ты в openvpn генерацию сертификатов-то нашел, а? Рядом с "дефолтной конфигурацией" поди? Ну так будь ласка, покажи? >> Ухтыжлапочка ты моя! А слабо открыть man и посмотреть - ну хоть >> раз не в "ответы mail.ru" а в сам openvpn? > Аксиома: хорошее решение - безопасно по дефолту. Без танцев кан-кана. Не-не - ты рукой покажи а не баззвордами отмахивайся. Какое значение по умолчанию у "типа сертификата" _сейчас_ в openvpn? Я тебе его даже ставить не предлагаю - просто man посмотреть, можно даже на оффсайте - справишься? Если что - там капчи нет и почту у тебя вымогать не будут, эти отмазы не прокатят. >> не понял, что у тебя спрашивают. Традиции - залог благополучия! > Я уже так и понял что эта мантра у вас - традиционная. Ну да, как вижу, что Аноним чего-то пишет - так сразу и понимаю, "фигню!" - и ведь что занятно - ни разу еще не ошибся. >> Ииии? И что там у тебя "по дефолту" сейчас, м? Будь ласка, >> сделай усилия - посмотри? > Не вижу смысл тратить время на то чем я уже не пользуюсь > и не планирую. Но мнение о продукте, которого ни разу в глаза не видел высказывать не стесняешься. Опеннетоугодно. > Я конечно понимаю что с TLS вообще и openvpn как его представителя > можно собрать совершенно хтонические конструкции. Но это вовсе и не фича > для безопасности. Ну, IT вообще сложная штука, да. Можно конечно в подвале катриджи заправлять - тут со всем этим дел иметь не придется. > Как показали натурные эксперименты - полнейшая лотерея. В свое время в половину > приходилось явно мануально дописывать. Самому. Ну, "натурные эксперименты" показали, что "самому" анониму кроме как комменты на опенке писать - ничего не выходит, по крайности openvpn он в глаза не видел и даже посмотреть - почему-то стесняется. > А сейчас - сейчас я уже забыл эти ритуалы, вместе с названием > параметра. Ну так я его тебе чуть не в каждом комменте пишу - а ты даже значение-по-умолчанию найти ниасиливаешь. Э - экспертиза! > Ну как бы DES еще на заре считался небезопасным и тормозным одновременно. > А на ту подборочку алго никаких компроматов не нашлось особо за > довольно много лет. Ну ты главное - верь. Дiды вот предполагали, что "за время пути собачка может чуть-чуть подрасти" - а ты верь, верь что не может. Это ж в IT главное! >> Ну да. "Кто-то другой сделает!", а "мне и так хорошо" - чоужтам. > Вообще-то разделение труда ничем таким не плохо. А вот здоровенный летающий макаронный > монстр в вопросах информационной безопасности - заявка на залет, с чем > у сабжа никаких проблем как раз исторически не было. Как говорил мой первый начальник - "Можно запустить ракету в космос. Да можно даже с помощью одного напильника! Да один человек справится! При условии, что этот человек - не ты". И вот все у вас, не мешки ворочающих, так.
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+1 +/–
	Сообщение от Введите код изображенный на картинке (?), 12-Янв-25, 02:53
	Вперде, давай. tls-auth только совсем глупые не используют. В принципе, уровень понятен. Взять конфиг из примера и поменять только адрес сервера и имена файлов ЦС/ЗК/ОК. Ну ок. Страдания всем.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	49. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 12-Янв-25, 14:02
	> Вперде, давай. tls-auth только совсем глупые не используют. > В принципе, уровень понятен. Взять конфиг из примера и поменять только адрес > сервера и имена файлов ЦС/ЗК/ОК. Ну ок. Страдания всем. Ну, вообще конечно "да", но - "есть нюанс!", tls-auth от обсуждаемого сценария защищает... Да "никак" он от него не защищает. Он вообще про другое, если что.
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Исходное сообщение (?), 13-Янв-25, 20:38
	>Он вообще про другое, если что. Если про то, чтобы обмануть с клиентским сертификатом соседа по локалке, то >Да "никак" он от него не защищает. Не является правдой.
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от User (??), 13-Янв-25, 20:56
	>>Он вообще про другое, если что. > Если про то, чтобы обмануть с клиентским сертификатом соседа по локалке, то >>Да "никак" он от него не защищает. > Не является правдой. Ну, "мужики почему-то не знают" и пишут: Add an additional layer of HMAC authentication on top of the TLS control channel to mitigate DoS attacks and attacks on the TLS stack. Каким образом PSK должен защищать от описанного сценария?
	Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–1 +/–
Сообщение от Аноним (8), 09-Янв-25, 12:17
>сформированных в июне 2024 года. Проблема не стоит выделенного яйца, никто не ставит софт, который не выдержан года три в дубовых бочках после релиза.
Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+3 +/–
	Сообщение от Аноним (-), 09-Янв-25, 12:22
	>> сформированных в июне 2024 года. > Проблема не стоит выделенного яйца, никто не ставит софт, который > не выдержан года три в дубовых бочках после релиза. Эм... в сформированных в июне 2024 года как раз фикс. А вот оказалось, что в твоих бочках совсем не мед, а нечто другое. И сейчас у тебя прекрасный выбор - или обновляться на ненастоявшийся софт, или пользоваться заведомо дырявой версией.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (8), 09-Янв-25, 12:48
	>сформированных в июне 2024 года как раз фикс. Ты плохо прочитал новость, Аноним. Написано же: >В опубликованном несколько дней назад обновлении, проблема переведена в разряд критических (уровень опасности 9.1 из 10). Уязвимость появилась в июне, несколько дней назад её объявили критической и исправили. Через пару лет посмотрим, до конца ли исправили.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+1 +/–
	Сообщение от Аноним (-), 09-Янв-25, 12:57
	> Ты плохо прочитал новость, Аноним. Разве? А как понимать фразу: "Проблема устранена в выпусках OpenVPN 2.5.11 и 2.6.11, сформированных в июне 2024 года." Устранена. Но внедрили эту уязвимость гораздо раньше, можно посмотреть когда менялся файл. И это было несколько лет назад.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (12), 09-Янв-25, 14:17
	Не надо туда смотреть. Не положено.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+3 +/–
	Сообщение от Аноним (19), 09-Янв-25, 14:35
	Что даже нельзя посмотреть имя и фамилию этого "бага"? А вдруг там зарубежный ЖинТян, а не наш родной отечественный! Это же возмутительно!!
	Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
Сообщение от Аноним (24), 09-Янв-25, 17:29
Я же говорил - именно в проекты "для анонимусов" бэкдоры и пихают. Корпораты же используют IPSec.
Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+3 +/–
	Сообщение от Аноним (-), 09-Янв-25, 18:58
	Разумеется. Просто корпораты не боятся "злога хасударства!!11". К ним и так могут придти и попросить ключики. В некоторых странах по решению суда, а где-то и без. Поэтому и закладки делать в протоколах и софтине особого смысла нет. В отличие от софтин для васянов. Что мы собственно и видим.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+1 +/–
	Сообщение от Аноним (44), 09-Янв-25, 20:35
	Пихать в проекты для анонимусов бэкдоры бессмысленно. Любой анонимус и так на виду: соцсетями не пользуется, а если и пользуется, то самыми маргинальными; ОС и браузер нестандартные, в любой более-менее продвинутой системе сбора данных о посетителях видны как на ладони, и смена юзер-агента только хуже делает — сразу же помещает таких в отдельную категорию посетителей с поломанными браузерами; обычными «мирскими» делами такие персонажи интересуются крайне редко, газет и журналов не читают, телевизор не смотрят, и таким образом палятся за две минуты разговора. Вот и сам подумай, зачем тратить силы на бэкдоры, если анонимусы сами себя игрой в шпионов «подсвечивают»?
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	32. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+1 +/–
	Сообщение от Аноним (32), 09-Янв-25, 23:59
	Да я обратил внимание что не только анонимусы сбежали с соц сеточек, по крайней мере вк, да и новости только самые крупные знают
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (44), 10-Янв-25, 00:42
	Те анонимусы давно в списках у кого надо. Я про остальной мир говорю.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от Аноним (34), 10-Янв-25, 08:33
	Корпораты же используют IPSec. iplir же, импортозамещение же
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

43. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
Сообщение от seven (??), 10-Янв-25, 21:56
Не совсем понятно с Windows версией она есть или будет или там нет уязвимости?
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+1 +/–
Сообщение от Введите код изображенный на картинке (?), 12-Янв-25, 02:56
Как народ бушует то.... "Уязвимость" при получении кривых команд от Кого? Недоверенного сервера? Ась? Вы туда вообще воюете?
Ответить | Правка | Наверх | Cообщить модератору

	67. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	+/–
	Сообщение от пох. (?), 14-Янв-25, 11:32
	теоретически - в обратную сторону (от доверенного но слишком доверчивого клиента) тоже сработает. Но для этого надо таки иметь на сервере какие-то блин "плагины" хз для чего и к чему. Вероятно что-то из новомодных улучшайзингов, которые на немодных серверах вообще пока не завелись.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Уязвимость в OpenVPN, допускающая подстановку данных в плаги..."	–1 +/–
	Сообщение от Аноним (69), 14-Янв-25, 11:51
	> Как народ бушует то.... > "Уязвимость" при получении кривых команд от Кого? Недоверенного сервера? Ась? Вы туда > вообще воюете? А ты вот прям всей душой доверяешь фиг знает какому серваку воон того VPN провайдера например? И основанием к тому - чего? :)
	Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема