Выпуск OpenVPN 2.3.6, 2.2.3 и 2.0.11 с устранением уязвимости

Представлены корректирующие выпуски пакета для создания виртуальных частных сетей OpenVPN 2.3.6, 2.2.3 и 2.0.11, в которых устранена уязвимость (CVE-2014-8104), позволяющая инициировать отказ в обслуживании сервера через отправку специально оформленного запроса. Проблема затрагивает все версии OpenVPN, выпущенные с 2005 года.

Особую опасность уязвимость представляет для публичных серверов OpenVPN, так как атакующий может легко вывести их из строя — для краха серверного процесса пользователю, имеющему доступ через аутентифицированный TLS-сертификат, достаточно отправить на сервер слишком короткий пакет TLS с типом P_CONTROL_V1 (например, проблеме подвержены VPN-службы, которые публично распространяют TLS-сертификаты для доступа к сервису, а для контроля доступа используют связку логин/пароль).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.