Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита безопасности

12 мая 2017 года

Сформирован корректирующий выпуск пакета OpenVPN 2.4.2, в состав которого вошли исправления, устраняющие проблемы, выявленные в результате независимого аудита механизмов шифрования. Одновременно опубликован отчёт с раскрытием деталей аудита. Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt.

На основании выработанных в ходе проверки рекомендаций в OpenVPN 2.4.2 внесено семь исправлений: устранена одна опасная проблема, одна уязвимость средней степени опасности и пять несущественных недоработок. В частности, исправлены следующие уязвимости:

• CVE-2017-7478 - аутентифицированый пользователь может инициировать отказ в обслуживании VPN-сервера через отправку слишком большой порции данных в пакете P_CONTROL. Из-за простоты проведения атаки проблеме присвоен высокий уровень опасности. Серверы, использующие tls-auth/tls-crypt для шифрования пакетов аутентификации, проблеме не подвержены;
• CVE-2017-7479 - аутентифицированый пользователь может вызвать крах OpenVPN через переполнение счётчика пакетов Packet-ID. Для совершения атаки нужно отправить несколько сотен гигабайт данных.