В связи с ростом популярности и довольно большой конкуренции среди сервисов VPN, специалисты в области кибербезопасности стали уделять данным сервисам повышенное внимание. Гвидо Вранкен (исследователь по безопасности), провел аудит клиента и серверного ПО с открытым исходным кодом SoftEther VPN. Сам того не ожидая эксперт обнаружил 11 уязвимостей.
7 и 11 слабых мест связаны с повреждением памяти и механизмами проверки. Воспользовавшись их, злоумышленник способен в аварийном режиме завершить запущенные на сервере процессы. Остальные уязвимости связаны с утечкой памяти и способны привести к исчерпанию доступной памяти.
Техника используемая для аудита аналогична той, что использовалась экспертом в июне 2017 года, при исследовании сервиса OpenVPN. Фаззинг — техника тестирования программного обеспечения, которая заключается в передаче приложению ложных или случайных данных. В ходе выявляются падения или зависания, нарушения внутренней логики и проверок в коде.
Сервис обратил внимание на исследование проведенное Гвидо Вранкеном и исправил все с выходом обновления SoftEther VPN 4.25 Build 9656.
Мы в Telegram: @meonion
Не забывайте ставить лайки!