Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита безопасности
Сформирован корректирующий выпуск пакета OpenVPN 2.4.2, в состав которого вошли исправления, устраняющие проблемы, выявленные в результате независимого аудита механизмов шифрования. Одновременно опубликован отчет с раскрытием деталей аудита. Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt.
На основании выработанных в ходе проверки рекомендаций в OpenVPN 2.4.2 внесено семь исправлений: одна опасная проблема, одна уязвимость средней степени опасности и пять несущественных недоработок. В частности, устранены следующие уязвимости:
- CVE-2017-7478 - аутентифицированый пользователь может инициировать отказ в обслуживании VPN-сервера через отправку слишком большой порции данных в пакете P_CONTROL. Из-за простоты проведения атаки проблеме присвоен высокий уровень опасности;
- CVE-2017-7479 - аутентифицированый пользователь может вызвать крах OpenVPN через переполнение счетчика пакетов Packet-ID.
