|
| 1.5, Фнон (-), 11:54, 09/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– | |
Т.е они в июне рассказывали про незначительный баг (ну подумаешь логи забиваются мусором), а сами, скорее всего знали про серьезность, и поменяли задним числом?
Это очень некрасиво - много людей не будет обновляться, если в changelog'е какие-то минорные изменения.
| | |
| |
| 2.7, Аноним (-), 12:03, 09/01/2025 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> а сами, скорее всего знали про серьезность, и поменяли задним числом?
Неа, все намного хуже - до них просто не поняли к чему может привести эта проблема.
И только потом до жирафа дошло.
Прям показатель уровня современных кодеров.
| | |
| |
| 3.12, Аноним (12), 12:43, 09/01/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Неправда им сказали подержать уязвимость и не устраивать шумиху пока мы тут за несогласными не последним, а потом это отверстие закрывайте, а новое открывайте.
| | |
|
|
| 1.6, Аноним (-), 12:00, 09/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Функция check_incoming_control_channel, куда был добавлен фикс, была написана 5 лет назад.
Отличная закладка! Минимум пять лет тыщщи глаз не видели дыру и спокойно пользовались открытым, надежным и заслуживающим доверия опенсорным продуктом.
А сейчас "oh, it just a bug!"
| | |
| |
| 2.10, Аноним (-), 12:21, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Отличная закладка! Минимум пять лет тыщщи глаз не видели дыру и спокойно пользовались
В OpenVPN сто лет к ряду была известная всем кто минимально интересовался - дыра в дефолтной конфиге - кода он ТИП СЕРТИФИКАТА НЕ ПРОВЕРЯЛ, ОЛОЛО.
И каждый первый клиент - мог взять и нагло митмануть ближнего своего, откосплеив сервак своим сертом. Он же той же ауторити выписан! :D
Так что спокойно ЭТИМ пользовались только те кто не интересовался что сие за летающий макаронный монстр и как его делают.
p.s. надеюсь это объясняет почему вайргад всем этим не занимается :)
| | |
| |
| |
| 4.22, User (??), 15:32, 09/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Предполагаю, что IPSec'ом - там способов выстрелить себе в ногу еще больше - но по какой-то причине было принято документацию читать, а не хаутуи копипастить.
| | |
| |
| 5.36, Аноним (-), 12:42, 10/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Предполагаю, что IPSec'ом - там способов выстрелить себе в ногу еще
> больше - но по какой-то причине было принято документацию читать,
> а не хаутуи копипастить.
Не, заменять одну энтерпрайз-блевотень с кучей вулнов, на другую - еще страшнее - и с в 2 раза больше вулнов - это прерогатива покусаных энтерпрайзом господ. А всякие относительно мелкие VPN не покусаные баззвордами типа TLS/SSL и "стандарты" - были много лет. Сейчас им жить стало намного сложнее из-за вайргада, который примерно это самое - но еще в ядре, так что маленький, простой в настройке - и очень шустрый. Так что конкурировать с ним стало конечно гораздо душнее.
| | |
| |
| 6.38, User (??), 13:21, 10/01/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Предполагаю, что IPSec'ом - там способов выстрелить себе в ногу еще
>> больше - но по какой-то причине было принято документацию читать,
>> а не хаутуи копипастить.
> Не, заменять одну энтерпрайз-блевотень с кучей вулнов, на другую - еще страшнее
> - и с в 2 раза больше вулнов - это прерогатива
> покусаных энтерпрайзом господ. А всякие относительно мелкие VPN не покусаные баззвордами
> типа TLS/SSL и "стандарты" - были много лет. Сейчас им жить
> стало намного сложнее из-за вайргада, который примерно это самое - но
> еще в ядре, так что маленький, простой в настройке - и
> очень шустрый. Так что конкурировать с ним стало конечно гораздо душнее.
Звиняйте, хлопцi - но разве что в нише "для себя и кота" - в остальных wg не делает примерно "ничего" полезного, сорян. И да, даже со скотом судя по бенчмаркам того же cillium'а - как-то ниочень вышло, ipsec засчет offload'а криптографии работает - сюрприииз! быстрее.
_СЕЙЧАС_ у норот все больше checkpoint, cisco anyconnect, citrix secure access - да даже ms sstp, блин. Нужны complience policy оконечных устройств, нормальные (Нормальные, Карл!) клиенты для примерно всех ОС, централизованное управление зоопарком, развитая маршрутизация, отсутствие проблем за NAT'ами\FW, динамическое управление, контроль аномалий трафика + расширенные возможности FW, в нишевых кейсах - недетектируемость и т.д. - а не "Мааам! Мааам! Смотри как я зашифровал трафик между двумя хостами!"
Чтобы из WG вот это всё сделать нуээээ... пока вроде не вышло еще ни у кого, но пытаются, да.
| | |
|
|
| 4.35, Аноним (-), 12:39, 10/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> А чем пользовались те, кто интересовался?
Сейчас они пользуются в основном чем-то типа вайргада. А тогда всякими мелкими наколенными самопалами, менее известными и не такими навороченными опять же. Дабы избегать таких залетов.
| | |
| |
| 5.42, нах. (?), 14:32, 10/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
ты опять подменил понятия - те кто интересовался, как пользовались _нормальными_ решениями (и одно из них таки openvpn) так и продолжают.
А вайргад - удел васянов с подкроватным локалхостом. Как и все твои самопалы.
Причем от кого вы прячетесь - никто не знает, потому что никому вы нахрен просто не нужны.
(и да, я совершенно уверен что васянские попытки как-то менеджить вайргады - хотя бы вот автоматически обновлять ключи регулярно - сплошное, законченное, эталоннейшее шерето. Опять же никем не поломанное только потому что нахрен никому не сдалось)
Ну а у тебя, наверняка, один ключ от всего, и не меняется уже пять лет. Безопастно!
| | |
| |
| 6.44, Аноним (44), 05:49, 11/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Твои страдания по поводу Wireguard вызывают недоумение. Система простая как полено. Циска мусолит добавить wg в роутеры, сразу в хардварном исполнении. Все пользуются, всё работает, ключи ротейтятся, один пох спать не может.
| | |
| |
| 7.45, пох. (?), 14:11, 11/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Никому кроме тебя и таких же как ты васянов - не нужна еще одна система "простая как полено". Мы не печки топим, у нас задачи чуток посложнее.
Что ж до вас это никак не дойдет-то до сих пор?
| | |
|
|
|
|
| 3.21, User (??), 15:30, 09/01/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Уф. Если под "типом сертификата" вы понимаете nsCertType - то тут все вопросы к openssl, его в чистом виде где-то в районе 1.1 депрекейтнули, а стандартом оно и не было никогда.
Если вы про extendedkeyusage который serverAuth\clientAuth - то формально они даже совершенно правы и все вопросы к IETF: RFC 5280 т.к. формально он на всю бошку optional и - по замыслу отсосдателей - должен использоваться исключительно для "TLS WWW server authentication" а не для всякого там опенвэпээна.
Проверять KU\EKU и считать, что этого достаточно - это надо даже не "разработчиком OpenVPN" быть а прям даже "экспертом opennet".
(Вот то, что эта борода _все еще_ не умеет в проверку соответствия SAN (Не, ну формально - дергай скрЫпт в --tls-verify и хоть запроверяйся) таки бида-огорчение. Т.е. и тут конечно можно дiдам в бороды наплевать и на RFC2818 пожаловаться - одни не подумали про несколько DNS-имен, другие deprecate'нули использование CN в этом качестве и напихали возможностёв в альтернативу (Сложьна!) - но то уже совсем в пользу бедных будет. )
Вместо этого все давно уже используют verify-x509-name - а кто икспердт, слышал звон и читал не тот хаутуй - тот может однажды удивиться, что CA оказывается может более одного сертификата с EKU 1.3.6.1.5.5.7.3.1 выписать - и громко жаловаться в спортлото на "небезопасность openvpn" потом.
| | |
| |
| 4.26, нах. (?), 19:08, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> CA оказывается может более одного сертификата с EKU 1.3.6.1.5.5.7.3.1 выписать
ну если тебе ломанули CA - то он выпишет (себе) и с правильным x509-name, столько, сколько понадобится васяну.
А тут прикол был в том, что и выписывать ничего не надо - уже ж выписан, на твое честное имя, берешь и пользуешь в качестве серверного, зуб даю - сервер я!
Увизгвимость, разумеется, исключительно теоретическая, потому что зачем ты в той стремной лабе полез подключаться к корпоративной сетке - совершенно непонятно. А если "коллеги" тебе такое прямо в сети предприятия устроили - то тут не впн чинить надо, а съ36ывать за границу, прихватив на память чей-нибудь чужой ноутбук, а то завтра они этим не ограничатся и на мясо тебя продадут.
| | |
| |
| 5.27, User (??), 19:46, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> ну если тебе ломанули CA - то он выпишет (себе) и с правильным x509-name, столько, сколько понадобится васяну.
Почему "ломанули"? Зачем "ломанули"? Просто берешь _любой_ выписанный этим же CA серверный сертификат и пионЭр с "типом сертификата" и чувством глубокой защищенности из хаутуя идёт... ну вот туда и идет. А про то, что под ovpn оказываецца! (не) нужно отдельный (intermediate) CA заводить - в прионЭрских хаутуях не писано.
| | |
| |
| 6.28, нах. (?), 20:02, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
ну такоэ тож... у чувака с выписанным корп-CA сертификатом хоть чего-нибудь тоже дофига интересных возможностей без всякого openvpn.
(от intermediate толку мало, нужно просто отдельный CA, которому незачем вовсе быть в корпоративной PKI, этот серт выписывается один раз и навсегда, можешь все запчасти от того CA сразу после этого удалить нахрен вместе с закрытым ключом, мы им никогда и ничего больше подписывать не будем)
То что в openvpn нельзя просто сделать key pining без всякого "ca" - в общем-то вопрос к его разработчикам, видимо, черезмерно увлекавшимися корпоративными игрищами в ущерб надежности и простоте.
| | |
| |
| 7.29, User (??), 20:13, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> ну такоэ тож... у чувака с выписанным корп-CA сертификатом хоть чего-нибудь тоже
> дофига интересных возможностей без всякого openvpn.
MITM на оборудовании мы организовать уже можем - а "найти" сертификат еще нет? Ну... бывает.
> (от intermediate толку мало, нужно просто отдельный CA, которому незачем вовсе быть
> в корпоративной PKI, этот серт выписывается один раз и навсегда, можешь
> все запчасти от того CA сразу после этого удалить нахрен вместе
> с закрытым ключом, мы им никогда и ничего больше подписывать не
> будем)
Ну, depends on. Я бы скорее сказал, что перспективу управлять мульеном разных CA ИБ в гробу видела - но тут возможны варианты вплоть до того, что CA в веденьи инфры, а не безов оказывается...
> То что в openvpn нельзя просто сделать key pining без всякого "ca"
> - в общем-то вопрос к его разработчикам, видимо, черезмерно увлекавшимися корпоративными
> игрищами в ущерб надежности и простоте.
Аминь.
| | |
| |
| 8.31, нах. (?), 21:01, 09/01/2025 [^] [^^] [^^^] [ответить] | +/– | ну как бы да, обычно это сильно разные направления Хотя, конечно, надо просто п... текст свёрнут, показать | | |
|
| 7.40, User (??), 14:04, 10/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> То что в openvpn нельзя просто сделать key pining без всякого "ca"
> - в общем-то вопрос к его разработчикам, видимо, черезмерно увлекавшимися корпоративными
> игрищами в ущерб надежности и простоте.
Кстати, забавно - но похоже уже можно :)
"--peer-fingerprint args
Specify a SHA256 fingerprint or list of SHA256 fingerprints to verify the peer certificate against. The peer certificate must match one of the fingerprint or certificate verification will fail. The option can also be inlined
When the --peer-fingerprint option is used, specifying a CA with --ca or --capath is optional. This allows the he --peer-fingerprint to be used as alternative to a PKI with self-signed certificates for small setups. See the examples section for such a setup.
"
| | |
| |
| 8.41, нах. (?), 14:25, 10/01/2025 [^] [^^] [^^^] [ответить] | +/– | хорошая новость И можно, действительно, навсегда оставить self-signed ... текст свёрнут, показать | | |
|
|
|
|
| 4.37, Аноним (-), 12:56, 10/01/2025 [^] [^^] [^^^] [ответить] | –1 +/– | Это - вранье, или некомпетенция В OpenVPN даже директива с проверкой типа серта... большой текст свёрнут, показать | | |
| |
| 5.39, User (??), 13:56, 10/01/2025 [^] [^^] [^^^] [ответить] | +/– | Ну я и говорю - некомпетентность Была, была директива --ns-cert-type - но того-... большой текст свёрнут, показать | | |
|
|
|
|
| 1.8, Аноним (8), 12:17, 09/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>сформированных в июне 2024 года.
Проблема не стоит выделенного яйца, никто не ставит софт, который не выдержан года три в дубовых бочках после релиза.
| | |
| |
| 2.11, Аноним (-), 12:22, 09/01/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> сформированных в июне 2024 года.
> Проблема не стоит выделенного яйца, никто не ставит софт, который
> не выдержан года три в дубовых бочках после релиза.
Эм... в сформированных в июне 2024 года как раз фикс.
А вот оказалось, что в твоих бочках совсем не мед, а нечто другое.
И сейчас у тебя прекрасный выбор - или обновляться на ненастоявшийся софт, или пользоваться заведомо дырявой версией.
| | |
| |
| 3.14, Аноним (8), 12:48, 09/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>сформированных в июне 2024 года как раз фикс.
Ты плохо прочитал новость, Аноним. Написано же:
>В опубликованном несколько дней назад обновлении, проблема переведена в разряд критических (уровень опасности 9.1 из 10).
Уязвимость появилась в июне, несколько дней назад её объявили критической и исправили.
Через пару лет посмотрим, до конца ли исправили.
| | |
| |
| 4.15, Аноним (-), 12:57, 09/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ты плохо прочитал новость, Аноним.
Разве? А как понимать фразу:
"Проблема устранена в выпусках OpenVPN 2.5.11 и 2.6.11, сформированных в июне 2024 года."
Устранена.
Но внедрили эту уязвимость гораздо раньше, можно посмотреть когда менялся файл.
И это было несколько лет назад.
| | |
| |
| |
| 6.19, Аноним (19), 14:35, 09/01/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Что даже нельзя посмотреть имя и фамилию этого "бага"?
А вдруг там зарубежный ЖинТян, а не наш родной отечественный!
Это же возмутительно!!
| | |
|
|
|
|
|
| 1.24, Аноним (24), 17:29, 09/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я же говорил - именно в проекты "для анонимусов" бэкдоры и пихают. Корпораты же используют IPSec.
| | |
| |
| 2.25, Аноним (-), 18:58, 09/01/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Разумеется. Просто корпораты не боятся "злога хасударства!!11".
К ним и так могут придти и попросить ключики.
В некоторых странах по решению суда, а где-то и без.
Поэтому и закладки делать в протоколах и софтине особого смысла нет.
В отличие от софтин для васянов. Что мы собственно и видим.
| | |
| 2.30, Аноним (44), 20:35, 09/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Пихать в проекты для анонимусов бэкдоры бессмысленно. Любой анонимус и так на виду: соцсетями не пользуется, а если и пользуется, то самыми маргинальными; ОС и браузер нестандартные, в любой более-менее продвинутой системе сбора данных о посетителях видны как на ладони, и смена юзер-агента только хуже делает — сразу же помещает таких в отдельную категорию посетителей с поломанными браузерами; обычными «мирскими» делами такие персонажи интересуются крайне редко, газет и журналов не читают, телевизор не смотрят, и таким образом палятся за две минуты разговора. Вот и сам подумай, зачем тратить силы на бэкдоры, если анонимусы сами себя игрой в шпионов «подсвечивают»?
| | |
| |
| 3.32, Аноним (32), 23:59, 09/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да я обратил внимание что не только анонимусы сбежали с соц сеточек, по крайней мере вк, да и новости только самые крупные знают
| | |
| |
| 4.33, Аноним (44), 00:42, 10/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Те анонимусы давно в списках у кого надо. Я про остальной мир говорю.
| | |
|
|
|
| 1.43, seven (??), 21:56, 10/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Не совсем понятно с Windows версией она есть или будет или там нет уязвимости?
| | |
|
