В SoftEther VPN обнаружено 11 уязвимостей

В ходе аудита безопасности популярного VPN-клиента и серверного ПО с открытым исходным кодом SoftEther VPN было обнаружено 11 уязвимостей. Аудит проводился исследователем безопасности Гвидо Вранкеном (Guido Vranken) по заказу Института молекулярной генетики Макса Планка (Германия).

Во время исследования эксперт обнаружил семь уязвимостей, связанных с повреждением памяти и отсутствием надлежащих механизмов проверки. С их помощью злоумышленник может вызвать аварийное завершение запущенных на сервере процессов. Вранкен также обнаружил четыре уязвимости, связанные с утечкой памяти и способные привести к исчерпанию доступной памяти.

Аудит проводился в основном с использованием фаззинга – техники, также использовавшейся Вранкеном для обнаружения уязвимостей в OpenVPN в июне 2017 года. Все упомянутые выше уязвимости были исправлены в обновлении SoftEther VPN 4.25 Build 9656.

Фаззинг (fuzzing) – техника тестирования ПО, часто автоматическая или полуавтоматическая, заключающая в передаче приложению неправильных, неожиданных или случайных данных. Предметом интереса являются падения и зависания, нарушения внутренней логики и проверок в коде приложения, утечки памяти, вызванные такими данными на входе.