Summary: | Собрать новую версию openvpn | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | AEN <aen> |
Component: | openvpn | Assignee: | Nikolay A. Fetisov <naf> |
Status: | CLOSED NOTABUG | QA Contact: | qa-sisyphus |
Severity: | critical | ||
Priority: | P5 | CC: | ldv, naf, sem |
Version: | unstable | ||
Hardware: | all | ||
OS: | Linux |
Description
AEN
2020-11-16 12:31:40 MSK
Там речь идет о Aviatrix OpenVPN client, это какая-то альтернативная реализация клиента, насколько я понимаю. В нашем же openvpn я вижу только CVE-2020-11810, исправленную в 2.4.9. Сейчас у нас 2.4.7, текущий апстримный релиз 2.5.0, но для его сборки надо переделывать gear-репозиторий, он собирается из другого git-бранча и так просто это не замержить. Если naf@ быстро не ответит, то предлагаю пока обновить до 2.4.9, а далее уже мантейнер разберется со сборкой 2.5.0. (Ответ для Mikhail Efremov на комментарий #1) > Если naf@ быстро не ответит, то предлагаю пока обновить до 2.4.9, а далее > уже мантейнер разберется со сборкой 2.5.0. Да, конечно. CVE-2020-7224 относится к Aviatrix Cloud Network Platform (https://aviatrix.com/), коммерческому решению для построение частных облаков под Microsoft Azure. Указанная в CVE версия 2.5.7 - это версия Aviatrix Cloud Network Platform, а не OpenVPN. Сама уязвимость относится к конфигурации Aviatrix Cloud Network Platform, а не используемого в платформе сервера OpenVPN. Упоминавшийся CVE-2020-11810 - это возможность отключения от сервера одним авторизованным клиентом другого в момент обновления вторым параметров своей сессии. 2.4.9-alt1 в Sisyphus ушёл, см. #39122 . Николай, спасибо! |