OpenVPN 2.6.7 が登場し、XNUMX つのセキュリティ問題に対処

Darkcrizt

4分

OpenVPN

OpenVPN は、フリー ソフトウェア (SSL、VPN バーチャル プライベート ネットワーク) に基づく接続ツールです。

OpenVPN の新バージョン 2.6.7 のリリースが最近発表されましたが、これは深刻と考えられる XNUMX つのセキュリティ問題の解決策と、警告の実装などが実装されたバージョンです。

OpenVPNに慣れていない人は、次のことを知っておく必要があります。 これは無料のソフトウェアベースの接続ツールであり、 SSL(Secure Sockets Layer)、VPN仮想プライベートネットワーク。

OpenVPN 接続されたユーザーとホストの階層的検証によるポイントツーポイント接続を提供します リモートで。 これは、Wi-Fiテクノロジー(IEEE 802.11ワイヤレスネットワーク)で非常に優れたオプションであり、負荷分散を含む幅広い構成をサポートします。

OpenVPN2.6.7の主な新機能

冒頭ですでに述べたように、この新しいバージョンの OpenVPN 2.6.7 では、次の点が強調されています。 XNUMX つの深刻なセキュリティ問題の解決策、その最初のものは脆弱性です CVE-2023-46850、メモリ使用量が原因で発生します 解放時にプロセス メモリの内容が接続の反対側に送信され、リモート コードが実行される可能性があります。 問題 TLS を使用する構成で発生します (「-secret」オプションなしで実行します)。

その他のセキュリティ上の問題 この新しいバージョンで解決された問題は、 CVE-2023-46849 は、ゼロ除算の状況が原因で発生します。、「-fragment」オプションを使用する構成では、リモート アクセス サーバーの障害が発生する可能性があります。

OpenVPN 2.6.7 のこのリリースで実装された変更点については、次の点が強調されています。 相手側が DATA_V1 パケットを送信するときの警告を追加しました OpenVPN 2.6.x クライアントをバージョン 2.4.0 ~ 2.4.4 に基づく互換性のないサーバーに接続しようとしている場合 (非互換性を解決するには、「-disable-dco」オプションを使用できます)。

それに加えて、 NCP p2p クライアントを p2mp サーバーに接続する際の警告を追加しました (マージは暗号化ネゴシエーションなしで機能していました) 接続の両側で 2.6.x バージョンを使用すると問題が発生するためです。

OpenSSL 1.x にリンクされた非推奨のメソッドを削除しました OpenSSL エンジンを使用してキーをロードします。 理由として挙げられているのは、作成者が新しいリンク例外を設けてコードを再ライセンスすることに消極的であるということです。

その他の変更点 この新しいバージョンから際立っている:

  • 「-show-groups」フラグではサポートされているグループがすべて表示されるわけではないという警告を追加しました。
  • 「-dns」パラメータでは、2.6 ブランチに登場したがサーバーではまだサポートされていない「exclude-domains」引数の処理が削除されました。
  • INFO コントロール メッセージが大きすぎてクライアントに転送できない場合に表示される警告を追加しました。
  • MinGW および MSVC を使用したビルドの場合、CMake ビルド システムのサポートが追加されました。
  • 古い MSVC ビルド システムのサポートが削除されました。
  • 証明書が設定されていない場合、たとえば、使用されているアルゴリズムが OpenSSL で受け入れられる場合に OpenSSL エラーをログに記録します (cryptoapi/pkcs11 シナリオでは誤解を招くメッセージが出力されます)
  • MinGW および MSVC ビルド用の CMake ビルド システムを追加しました
  • Windows 用の cmocka 単体テスト構築の改善

最後に、それについてもっと知りたい場合は、詳細を調べることができます 次のリンクで。

Ubuntu および派生製品に OpenVPN をインストールするにはどうすればよいですか?

自分のシステムに OpenVPN をインストールできるようにすることに興味がある人は、次のことを知っておく必要があります。 彼らは指示に従うことによってそれを行うことができます これらは OpenVPN の公式 Web サイトで共有されています。 リンクはこちらです。

しかし OpenVPN をインストールする最も簡単な方法の XNUMX つは、スクリプトを使用することです。 これにより、インストールと構成のプロセスが大幅に簡素化されます。 これを行うには、次のスクリプトをダウンロードします。

curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh

次に、root としてスクリプトを実行し、TUN モジュールを有効にします。

./openvpn-install.sh

プロセス中は、ウィザードに従い、いくつかの質問に答えて VPN サーバーを構成する必要があります。プロセスが終了して OpenVPN がインストールされたら、スクリプトを再度実行すると、次のオプションが表示されます。

  1. クライアントを追加する
  2. 顧客を削除する
  3. OpenVPN をアンインストールする