OpenVPN 2.6.7 arriba abordant dos problemes de seguretat

Darkcrizt

4 minuts

OpenVPN

OpenVPN és una eina de connectivitat basada en programari lliure: SSL, VPN Virtual Private Network.

Fa poc es va donar a conèixer el llançament de la nova versió d'OpenVPN 2.6.7, la qual és una versió que implementa la solució a dos problemes de seguretat que són considerats greus, així com també amb implementacions d'advertiments, entre altres coses més .

Per als qui desconeixen d'OpenVPN, han de saber que aquesta és una eina de connectivitat basada en programari lliure, SSL (Secure Sockets Layer), VPN Virtual Private Network (xarxa virtual privada).

OpenVPN ofereix connectivitat punt-a-punt amb validació jeràrquica d'usuaris i host connectats remotament. Resulta una molt bona opció en tecnologies Wi-Fi (xarxes sense fils IEEE 802.11) i permet utilitzar una gran configuració, entre elles balanceig de càrregues.

Principals novetats d'OpenVPN 2.6.7

Com ja es va esmentar a l'inici, en aquesta nova versió d'OpenVPN 2.6.7 es destaca la solució de dos problemes greus de seguretat, el qual el primer és la vulnerabilitat CVE-2023-46850, la qual és causada per un ús de la memòria després del seu alliberament podria provocar que el contingut de la memòria del procés s'enviï a l'altra banda de la connexió i, potencialment, provocar lexecució remota de codi. El problema passa en configuracions que usen TLS (executar sense l'opció “–secret”).

L'altre dels problemes de seguretat que va ser abordat en aquesta nova versió, és CVE-2023-46849, el qual és causat per una situació de divisió per zero, pot provocar una falla del servidor d'accés remot en configuracions que utilitzen l'opció “–fragment”.

Per la part dels canvis implementats en aquest llançament d'OpenVPN 2.6.7, es destaca que es va afegir una advertència quan l'altra banda envia paquets DATA_V1 en intentar connectar un client OpenVPN 2.6.xa servidors incompatibles basats en les versions 2.4.0-2.4.4 (d´r pot fer servir l'opció “–disable-dco” per resoldre la incompatibilitat) .

A més d'això, també es va afegir una advertència en connectar un client NCP p2p a un servidor p2mp (la combinació solia funcionar sense negociació de xifrat), ja que hi ha problemes en utilitzar les versions 2.6.x a banda i banda de la connexió.

Es va eliminar un mètode obsolet vinculat a OpenSSL 1.x que utilitza el motor OpenSSL per carregar claus. La raó esmentada és la renúncia de lautor a tornar a atorgar la llicència del codi amb noves excepcions denllaços.

Dels altres canvis que es destaquen d'aquesta nova versió:

  • S'ha afegit una advertència que l'indicador “show-groups” no mostra tots els grups admesos.
  • Al paràmetre “–dns”, es va eliminar el processament de l'argument “exclude-domains”, que va aparèixer a la branca 2.6, però que encara no és compatible amb els servidors.
  • S'ha afegit un advertiment que es mostrarà si el missatge de control INFO és massa gran per reenviar-lo al client.
  • Per a compilacions que utilitzen MinGW i MSVC, es va afegir compatibilitat amb el sistema de compilació CMake.
  • S'eliminà la compatibilitat amb l'antic sistema de compilació MSVC.
  • registrar errors d'OpenSSL si no s'estableix el certificat, per exemple, si els algorismes utilitzats són acceptables per a OpenSSL (s'imprimiria un missatge enganyós a escenaris de cryptoapi/pkcs11)
  • S'ha afegit el sistema de compilació CMake per a compilacions MinGW i MSVC
  • Es va millorar la construcció de proves unitàries de cmocka per a Windows

Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.

Com instal·lar OpenVPN a Ubuntu i derivats?

Per als interessats en poder instal·lar OpenVPN al vostre sistema, heu de saber que poden fer-ho seguint les instruccions que es comparteixen al lloc web oficial d'OpenVPN. L'enllaç és aquest.

Encara que un dels mètodes més senzills per poder instal·lar OpenVPN, és amb l'ajuda d'un script d'instal·lació que facilita en gran mesura el procés d'instal·lació i de configuració. Per això descarregarem el següent script amb:

curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh

I procedim a executar-lo l'script com a root i tenir habilitat el mòdul TUN:

./openvpn-install.sh

Durant el procés haureu de seguir l'assistent i respondre algunes preguntes per configurar el vostre servidor VPN i un cop finalitzat el procés i OpenVPN estigui instal·lat, podeu executar l'script novament i tindreu l'opció de:

  1. Afegir un client
  2. Eliminar un client
  3. Desinstal·lar OpenVPN