r   e   k   l   a   m   a
r   e   k   l   a   m   a

Dwa audyty kodu OpenVPN nie pomogły, eksperci przeoczyli groźne luki

Strona główna AktualnościBEZPIECZEŃSTWO

Audyty oprogramowania Open Source – czy może być lepsza gwarancja jego bezpieczeństwa i niezawodności, gdy oczy ekspertów wypatrują w kodzie wszystkiego, co mogłoby pozwolić na stworzenie exploitu? W tym roku dwa takie audyty przeszło popularne oprogramowanie do wirtualnych sieci prywatnych, OpenVPN. W jednym z nich udział brał słynny kryptograf Matthew Green z Johns Hopkins University. A mimo to OpenVPN pozostało dziurawe.

Holenderski badacz Guido Vranken donosi o odkryciu czterech nowych luk w OpenVPN, które nie zostały zauważone w obu tegorocznych audytach. Są one groźne w skutkach, jedna z nich pozwala na zdalne uruchomienie kodu, inna otwiera drogę do wykradnięcia haseł użytkownika. Co ciekawe, odkryte zostały nie za pomocą audytu kodu, lecz z wykorzystaniem automatycznego fuzzera.

Najpoważniejsza z luk to CVE-2017-7521, która tkwi w funkcji przetwarzającej certyfikaty x509. Pozwala ona napastnikowi na zawieszenie usługi OpenVPN odpowiednio spreparowanym certyfikatem, a w teorii poprzez dwukrotne uwolnienie pamięci z tym samym adresem jako argumentem, nawet zdalne uruchomienie kodu na serwerze.

r   e   k   l   a   m   a

Druga z luk, CVE-2017-7520, wiąże się z łączeniem z proxy Windows NTLM v2. Napastnik przeprowadzający atak man-in-the-middle może za jej pomocą zawiesić klienta OpenVPN albo wykraść hasła użytkownika z wycieku pamięci z proxy.

Pozostałe dwie luki, CVE-2017-7508 oraz CVE-2017-7522 pozwalają na zdalne zawieszenie serwera OpenVPN – wystarczy wysłać mu spreparowane pakiety IPv6 lub uzłośliwione dane uwierzytelniające.

Jedynym sposobem na zabezpieczenie się przed takimi atakami jest zaktualizowanie OpenVPN-a. Bezpieczne są właśnie wydane wersje 2.3.17 oraz 2.4.3. Więcej informacji na ten temat znajdziecie we wpisie blogowym Guido Vrankena.

Odkrycie powinno być traktowane jako kubeł zimnej wody na głowę tych, którzy wierzą w naturalnie wyższe bezpieczeństwo opensource’owego kodu. Oprogramowanie stało się tak złożone, że nawet wybitni eksperci patrząc na jego kod mogą nie zauważyć znajdujących się w nim luk, a co dopiero przypadkowi programiści, opiekunowie linuksowych dystrybucji, którzy po prostu przygotowują paczki.

Dlatego tak duże znaczenie odgrywają automatyczne narzędzia, takie właśnie jak fuzzery. Google’owa inicjatywa OSS-Fuzz służy właśnie wyszukiwaniu błędów w opensource’owym oprogramowaniu za pomocą tych narzędzi, które służą do analizy kodu Chromium. Jak do tej pory w ten sposób wykryto ponad tysiąc luk, z czego ponad 240 dotyczyło właśnie bezpieczeństwa.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.