В OpenVPN устранена уязвимость, позволяющая совершать DoS-атаки
Исправление безопасности необходимо установить исключительно VPN-провайдерам.
В OpenVPN была устранена уязвимость, позволяющая осуществить DoS-атаку (вызвать отказ в обслуживании). Брешь может быть проэксплуатирована аутентифицированными пользователями путем отправки специально сформированных пакетов.
Важно отметить, что уязвимость, получившая идентификатор CVE-2014-8104, подвергает угрозе нападения исключительно провайдеров VPN сервисов. Обнаружить ее удалось исследователю безопасности Драгане Дамджанович (Dragana Damjanovic).
По данным разработчиков, брешь присутствовала в OpenVPN еще с 2005 года. При этом для ее эксплуатации достаточно воспользоваться клиентом, прошедшим аутентификацию TLS, и отправить серверу слишком короткий пакет control channel, что приведет к аварийному завершению работы сервера.
«Другими словами, это уязвимость обычного отказа в обслуживании, - поясняют разработчики. – Тем не менее, нам не встречались случаи ее эксплуатации до выпуска исправления».
Эксперты также подчеркивают, что брешь не может быть использована для нарушения конфиденциальности или подмены трафика. Ознакомиться с подробным описанием уязвимости можно по адресу: securitylab.ru/vulnerability/462596.php
Ваша приватность умирает красиво, но мы можем спасти её.