Ve středu byla oznámena vážná zranitelnost všech implementací VPN (vyzkoušeno bylo OpenVPN, WireGuard a IKEv2/IPSec) na operačních systémech Linux, FreeBSD, OpenBSD, macOS, iOS a Android. Chyba CVE-2019–14899 umožňuje útočníkovi jen z velikosti paketů a jejich časování (bez jejich rozšifrování) určit IP adresu oběti ve VPN, zjistit aktivní spojení oběti a dokonce unést aktivní TCP spojení.
Chyba souvisí se změnou filtrování zpětné adresy v systemd z listopadu minulého roku. Ale i distribuce bez systemd jsou zranitelné, protože výchozí hodnota pro linuxové jádro je nefiltrovat. I se striktním filtrováním lze první dva kroky útoku provést. Řešením bude patrně zarovnání všech šifrovaných paketů na stejnou velikost. Chystá se detailní článek, bude však vydán, až budou záplaty.
(zdroj: bleepingcomputer)
