Przejdź na

Dwa audyty kodu OpenVPN nie pomogły, eksperci przeoczyli groźne luki

Audyty oprogramowania Open Source – czy może być lepszagwarancja jego bezpieczeństwa i niezawodności, gdy oczy ekspertówwypatrują w kodzie wszystkiego, co mogłoby pozwolić na stworzenieexploitu? W tym roku dwa takie audyty przeszło popularneoprogramowanie do wirtualnych sieci prywatnych, OpenVPN. W jednym znich udział brał słynny kryptograf Matthew Green z Johns HopkinsUniversity. A mimo to OpenVPN pozostało dziurawe.

Obraz
Adam Golański

Holenderski badacz Guido Vranken donosi o odkryciu czterech nowychluk w OpenVPN, które nie zostały zauważone w obu tegorocznychaudytach. Są one groźne w skutkach, jedna z nich pozwala na zdalneuruchomienie kodu, inna otwiera drogę do wykradnięcia hasełużytkownika. Co ciekawe, odkryte zostały nie za pomocą audytukodu, lecz z wykorzystaniem automatycznego fuzzera.

Najpoważniejsza z luk to CVE-2017-7521, która tkwi w funkcjiprzetwarzającej certyfikaty x509. Pozwala ona napastnikowi nazawieszenie usługi OpenVPN odpowiednio spreparowanym certyfikatem, aw teoriipoprzez dwukrotne uwolnieniepamięci z tym samym adresem jako argumentem, nawet zdalneuruchomienie kodu na serwerze.

Druga z luk, CVE-2017-7520, wiąże się z łączeniem z proxyWindows NTLM v2. Napastnik przeprowadzający atak man-in-the-middlemoże za jej pomocą zawiesić klienta OpenVPN albo wykraść hasłaużytkownika z wycieku pamięci z proxy.

Pozostałe dwie luki, CVE-2017-7508 oraz CVE-2017-7522 pozwalająna zdalne zawieszenie serwera OpenVPN – wystarczy wysłać muspreparowane pakiety IPv6 lub uzłośliwione dane uwierzytelniające.

Jedynym sposobem na zabezpieczenie się przed takimi atakami jestzaktualizowanie OpenVPN-a. Bezpieczne są właśnie wydane wersje2.3.17oraz 2.4.3. Więcej informacji na ten temat znajdziecie we wpisieblogowym Guido Vrankena.

Odkrycie powinno być traktowane jako kubeł zimnej wody na głowętych, którzy wierzą w naturalnie wyższe bezpieczeństwoopensource’owego kodu. Oprogramowanie stało się tak złożone, żenawet wybitni eksperci patrząc na jego kod mogą nie zauważyćznajdujących się w nim luk, a co dopiero przypadkowi programiści,opiekunowie linuksowych dystrybucji, którzy po prostu przygotowująpaczki.

Dlatego tak duże znaczenie odgrywają automatyczne narzędzia,takie właśnie jak fuzzery. Google’owa inicjatywa OSS-Fuzzsłuży właśnie wyszukiwaniu błędów w opensource’owymoprogramowaniu za pomocą tych narzędzi, które służą do analizykodu Chromium. Jak do tej pory w ten sposób wykryto ponad tysiącluk, z czego ponad 240 dotyczyło właśnie bezpieczeństwa.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯