OpenVPN 2.6.7 llega abordando dos problemas de seguridad
Hace poco se dio a conocer el lanzamiento de la nueva versión de OpenVPN 2.6.7, la cual es una versión que implementa la solución a dos problemas de seguridad que son considerados como graves, asi como también con implementaciones de advertencias, entre otras cosas mas.
Para quienes desconocen de OpenVPN, deben saber que esta es una herramienta de conectividad basada en software libre, SSL (Secure Sockets Layer), VPN Virtual Private Network (red virtual privada).
OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente. Resulta una muy buena opción en tecnologías Wi-Fi (redes inalámbricas IEEE 802.11) y soporta una amplia configuración, entre ellas balanceo de cargas.
Principales novedades de OpenVPN 2.6.7
Como ya se mencionó al inicio, en esta nueva versión de OpenVPN 2.6.7 se destaca la solución de dos problemas graves de seguridad, el cual el primero de ellos es la vulnerabilidad CVE-2023-46850, la cual es causada por un uso de la memoria después de su liberación podría provocar que el contenido de la memoria del proceso se envíe al otro lado de la conexión y, potencialmente, provocar la ejecución remota de código. El problema ocurre en configuraciones que usan TLS (ejecutar sin la opción «–secret»).
El otro de los problemas de seguridad que fue abordado en esta nueva versión, es CVE-2023-46849, el cual es causado por una situación de división por cero, puede provocar una falla del servidor de acceso remoto en configuraciones que usan la opción «–fragment».
Por la parte de los cambios implementados en este lanzamiento de OpenVPN 2.6.7, se destaca que se agregó una advertencia cuando el otro lado envía paquetes DATA_V1 al intentar conectar un cliente OpenVPN 2.6.x a servidores incompatibles basados en las versiones 2.4.0-2.4.4 (d´r puede usar la opción «–disable-dco» para resolver la incompatibilidad) .
Además de ello, también se agregó una advertencia al conectar un cliente NCP p2p a un servidor p2mp (la combinación solía funcionar sin negociación de cifrado), ya que hay problemas al usar las versiones 2.6.x en ambos lados de la conexión.
Se eliminó un método obsoleto vinculado a OpenSSL 1.x que utiliza el motor OpenSSL para cargar claves. La razón citada es la renuencia del autor a volver a otorgar la licencia del código con nuevas excepciones de enlaces.
De los demás cambios que se destacan de esta nueva versión:
- Se agregó una advertencia de que el indicador «–show-groups» no muestra todos los grupos admitidos.
- En el parámetro «–dns», se eliminó el procesamiento del argumento «exclude-domains», que apareció en la rama 2.6, pero que aún no es compatible con los servidores.
- Se agregó una advertencia que se mostrará si el mensaje de control INFO es demasiado grande para reenviarlo al cliente.
- Para compilaciones que utilizan MinGW y MSVC, se agregó compatibilidad con el sistema de compilación CMake.
- Se eliminó la compatibilidad con el antiguo sistema de compilación MSVC.
- registrar errores de OpenSSL si no se establece el certificado, por ejemplo, si los algoritmos utilizados son aceptables para OpenSSL (se imprimiría un mensaje engañoso en escenarios de cryptoapi/pkcs11)
- Se añadió el sistema de compilación CMake para compilaciones MinGW y MSVC
- Se mejoró la construcción de pruebas unitarias de cmocka para Windows
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
¿Como instalar OpenVPN en Ubuntu y derivados?
Para los interesados en poder instalar OpenVPN en su sistema, deben saber que pueden hacerlo siguiendo las instrucciones que se comparten en el sitio web oficial de OpenVPN. El enlace es este.
Aunque uno de los métodos más sencillos para poder instalar OpenVPN, es con ayuda de un script de instalación que facilita en gran medida el proceso de instalación y configuración. Para ello vamos a descargar el siguiente script con:
curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh chmod +x openvpn-install.sh
Y procedemos a ejecutarlo el script como root y tener habilitado el módulo TUN:
./openvpn-install.sh
Durante el proceso tendrás que seguir al asistente y responder algunas preguntas para configurar tu servidor VPN y una vez finalizado el proceso y OpenVPN esté instalado, puedes ejecutar el script nuevamente y tendrá la opción de:
- Agregar un cliente
- Eliminar un cliente
- Desinstalar OpenVPN