Számos biztonsági sebezhetőséget fedezett fel a Microsoft az OpenVPN-ben

Címkék

Kihasználva ezeket a sérülékenységeket olyan exploitálási láncok részeként, amelyek LPE és RCE exploitokat is tartalmaznak, a támadók a távoli rendszerek felett akár teljes ellenőrzést szerezhetnek (vagy egyéb támadásokat hajthatnak végre):

Attackers could chain and remotely exploit some of the discovered vulnerabilities to achieve an attack chain consisting of remote code execution (RCE) and local privilege escalation (LPE). This attack chain could enable attackers to gain full control over targeted endpoints, potentially resulting in data breaches, system compromise, and unauthorized access to sensitive information.

A Microsoft blogbejegyzése itt olvasható.

Hozzászólások

Mindeközben a Microsoft szerver termékei a mai napig tartalmaznak kajak sérülékeny PPTP és L2TP/IPsec implementációt.

trey @ gépház

Lassú szar? Akkor az SSTP-re mit mondanál :D

Na az tényleg bűn lassú, de legalább mindenen átmegy (kivéve ha valami félázsiai országbeli hotelben mókolnak a wifivel, mert akkor nem csak az SSTP hanem más SSL VPN-ek se működnek :( )

Életemben nem volt vele dolgom. De ez nem "mi a legnagyobb szar" verseny.

Az, hogy a Microsoft a szerver termékében elavult szarokat göngyöl és ezzel fenntartja a rájuk való igényt, amivel mi sem tudunk nagyon mit kezdeni, csak igyekszünk leszoktatni róla az ügyfeleket, aztán vagy sikerül vagy nem ... Ez bizony a Microsoft bűne. A Google annak idején felismerte az ebben való szerepét, súlyát és felelősségét és tesz is érte.

Jó lenne látni a Microsoftnál is ezt hangsúlyosabban.

trey @ gépház

Van már Google szerver op. rendszer, amiben szállítania kéne?

Nem erre gondoltam.

  • Bug bounty internet kritikus szoftverekre
  • P0 Team a nyílt és zárt forráskódú programok súlyos hibáinak felfedésére és javításának kierőszakolására
  • Internet Security Research Group
  • stb. stb.

trey @ gépház

Ebben az a szép, hogy több enterprise hálózati eszköz, megoldás gyártó VPN megoldása egy átskinezett OpenVPN. Vajon ők mikor fogják a termékükben frissíteni azt? Fél év? 1 év?

Március óta van fix, kicsit lekéstek ezzel Microsofték ...

Talisker Single Malt Scotch Whisky aged 10 years - o.k. Yamazaki is playing as well :)

Amúgy nem baj az, hogy a Microsoft mások hibáit tárja fel, bár ők is ennyire nyitottak lennének...