- PVSM.RU - https://www.pvsm.ru -

Уязвимость отказа в обслуживании в OpenVPN

image
В OpenVPN < 2.3.6 обнаружена уязвимость, которая позволяет аутентифицированным клиентам удаленно уронить VPN-сервер, т.е. выполнить атаку отказа в обслуживании.
Уязвимость заключается в некорректном использовании assert(): сервер проверяет минимальный размер control-пакета от клиента именно этой функцией, из-за чего сервер аварийно завершится, если получит от клиента control-пакет длиной менее 4 байт.
Следует отметить, что для совершения атаки достаточно установить коммуникацию через control channel, т.е. в случае с TLS, сам TLS-обмен. VPN-провайдеры, которые реализуют аутентификацию с использованием логина/пароля и общего TLS-ключа, подвержены уязвимости еще до стадии проверки логина и пароля.

Уязвимость имеется во всех версиях OpenVPN второй ветки, т.е. начиная, как минимум, с 2005 года. Ветка OpenVPN 2.4 (git master), на которой основаны мобильные клиенты, не подвержена данной уязвимости.

Следует либо обновиться до версии 2.3.6, либо наложить патч [1] на вашу версию OpenVPN.

Уязвимости присвоен CVE-номер CVE-2014-8104.

Security Announcement с описанием уязвимости [2]
Сообщение на форуме [3]
CVE-2014-8104 [4]
Последняя версия OpenVPN [5]

Автор: ValdikSS

Источник [6]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/openvpn/76023

Ссылки в тексте:

[1] патч: https://github.com/OpenVPN/openvpn/commit/c5590a6821e37f3b29735f55eb0c2b9c0924138c

[2] Security Announcement с описанием уязвимости: https://community.openvpn.net/openvpn/wiki/SecurityAnnouncement-97597e732b

[3] Сообщение на форуме: https://forums.openvpn.net/topic17625.html

[4] CVE-2014-8104: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2014-8104

[5] Последняя версия OpenVPN: http://openvpn.net/index.php/download/community-downloads.html

[6] Источник: http://habrahabr.ru/post/244705/