21/6/2017
OpenVPN przeszedł ostatnio 2 audyty kodu. Nie znalazły one większych błędów. Ale znalazł je jeden z niezależnych badaczy, który także przejrzał i pofuzzował kod OpenVPN. Opis jego dokonań tutaj. Szybko się zaktualizujcie, jeśli korzystacie z OpenVPN.
Przy okazji, w podlinkowanym wyżej tekście ciekawe refleksje na temat podejść do analizy kodu (ręczna, automatyczna z użyciem fuzzerów).
Dziękujemy Andrzejowi za informacje.
Ktora wersja openvpn poprawie ww. dziury?
Najnowsza – as always.
To nie jest takie proste. Najnowsza wersja z perspektywy normalnego użytkownika (który korzysta z menadżera pakietów) nie jest najnowszą wersją z perspektywy developera (który korzysta z repozytoriów kodu). Więc nie tylko pytanie “która wersja” ma duży sens ale również pytanie, czy aktualizacja istnieje w wersji *.deb (lub analogicznej dla innych systemów).
To teraz ciekawe kiedy aplikacje klienckie SSL VPN dla UTMów zostaną zaktualizowane. Te które znam są wszystkie nakładkami na OpenVPN.
Jak te problemy się mają do tls-auth?
To kolejny raz potwierdza, że dużo ważniejsze od tego że coś zostało zrobione/przeprowadzone jest przez kogo i jak dogłębnie. Audyt słowo klucz jest niewiele warte bez kontekstu, a przecież podobnie jest z nagrodami. Ostatnio pewna firma chwaliła się właśnie przeprowadzonym audytem w pewnym obszarze jej działalności oraz długą listą wyróżnień i certyfikatów. Po wnikliwej analizie okazało się że większość certyfikatów wystawiły firmy krzaki za pewną opłatą, realizacje były małe (w zasadzie 1 dostawa sprzętu dla firmy z branży) a audyt przeprowadził powołany naprędce jednoosobowy dział audytów :)
Niebezpiecznik zawsze w porę mnie ostrzega przed najnowszymi zagrożeniami :)