Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau   Réouverte
  • Type de tâche Évolution
  • Catégorie Freebox OS
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Critique
  • Priorité Normale
  • Basée sur la version 4.0.4
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
Concerne le projet: Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)
Ouverte par Neustradamus (Neustradamus) - 14/02/2019
Dernière édition par Thibaut Freebox (Thibaut Freebox) - 28/01/2020

FS#25817 - [Tous les Freebox Server] Demande de mise à jour (failles critiques) : openvpn 2.3.17->2.3.18->2.4.6

Pourriez-vous mettre à jour openvpn 2.3.17 → 2.3.18 (2017-09-25) → 2.4.6 (2018-04-19) et ainsi corriger de failles de sécurité (vulnérabilités) nommées CVEs en même temps

https://www.cvedetails.com/vulnerability-list/vendor_id-3278/Openvpn.html

https://community.openvpn.net/openvpn/wiki/CVE-2017-12166

https://github.com/OpenVPN/openvpn

http://openvpn.net/

Déjà signalé :
https://dev.freebox.fr/bugs/task/22518 (avec d’autres demandes de maj + corrections de noms de softs/libs)

https://dev.freebox.fr/bugs/task/22144

https://dev.freebox.fr/bugs/task/21826

Cette tache ne dépend pas d'autre tache

rcoupat (rcoupat)
Friday 15 February, 2019 07:10:10

vous vous êtes bien amusé

Neustradamus (Neustradamus)
Thursday 21 February, 2019 20:02:19

→ openvpn 2.4.7 (2019-02-18)

Neustradamus (Neustradamus_)
Tuesday 28 January, 2020 10:27:38
  • Champ changé: Pourcentage achevé : (100% → 0%)

Ticket clôturé mais pas mis à jour, est-ce possible de réouvrir avant création d’un nouveau ? Merci.

Neustradamus (Neustradamus_)
Tuesday 21 April, 2020 14:58:25

OpenVPN 2.4.9 (2020-04-17)
- http://openvpn.net/

Encore des corrections de CVEs (failles de sécurité), voir changelog:
- https://openvpn.net/community-downloads/

Neustradamus (Neustradamus_)
Monday 17 August, 2020 18:23:53

Actuellement en 4.2.3 :
- OpenVPN : 2.4.7
- OpenSSL : 1.1.1d

Version stable :
- OpenVPN : 2.4.9
- OpenSSL : 1.1.1f

OpenVPN 2.5.0 Beta 1 (2020-08-14)
- http://openvpn.net/

rcoupat (rcoupat)
Monday 17 August, 2020 19:15:30

faite les vous même vos mises a jour

Neustradamus (Neustradamus_)
Monday 17 August, 2020 19:53:16

@rcoupat : Je le voudrai bien !

Merci pour votre retour très intéressant, toujours un plaisir de communiquer avec vous :)

rcoupat (rcoupat)
Monday 17 August, 2020 20:05:14

moi aussi un plaisir de lire vos demandes de mise à jour mais je pense que les développeurs Free savent si c'est nécessaire

Neustradamus (Neustradamus_)
Friday 28 August, 2020 00:47:15

OpenVPN 2.5.0 Beta 2 (2020-08-26)
- http://openvpn.net/

Neustradamus (Neustradamus_)
Monday 7 September, 2020 15:01:18

@mbizon: Il semblerait qu'il y ait un gros problème dans les Freebox, OpenVPN 2.4.7 ou plus n'est pas bien implémenté.
- https://dev.freebox.fr/bugs/task/22839#comment139522

Neustradamus (Neustradamus_)
Monday 7 September, 2020 15:10:23

Actuellement dans Freebox OS 4.2.5 :
- OpenVPN : 2.4.7
- OpenSSL : 1.1.1d

Versions stables :
- OpenVPN : 2.4.9
- OpenSSL : 1.1.1f

OpenVPN 2.5.0 Beta 3 (2020-08-31)
- http://openvpn.net/

Alexandre Lejeune (kaisernet)
Monday 7 September, 2020 15:14:57

Depuis l'upgrade du firmware 4.2.5, la balise <tls-crypt> est bien reconnue mais le reste des commandes non. Je n'arrive toujours pas à me connecter à mon VPN.

Ils ne reconnaîtraient les options :

dhcp-renew, dhcp-release, register-dns, block-outside-dns

ce qui créé un problème avec les VPN en ipV6. Quand j'essaye de rajouter les lignes suivantes pour contourner ce problème, les lignes ne sont pas reconnues :

pull-filter ignore "dhcp-option DNS6"
pull-filter ignore "ifconfig-ipv6"
pull-filter ignore "redirect-gateway ipv6"

Pourtant il s'agit bien de commande openVPN 2.4.0

Le détail des logs ont été publié le 04/09/2020 https://dev.freebox.fr/bugs/task/23827

Neustradamus (Neustradamus_)
Tuesday 22 September, 2020 02:57:55
Neustradamus (Neustradamus_)
Wednesday 30 September, 2020 17:13:13
rcoupat (rcoupat)
Wednesday 30 September, 2020 18:34:44

pourquoi demander de faire une mise a jour sur une version release candidate, on fait cela sur une installation privée pas pour être diffusé sur une mise a jour d'une box distribuée a des millions d'utilisateurs, pour cela on attend la version finale

Neustradamus (Neustradamus_)
Thursday 1 October, 2020 04:45:22

@rcoupat: Merci pour votre commentaire, toujours un plaisir de les lire :)

Je n'ai pas dit explicitement de le mettre la version 2.5.0 RC2 dans une version stable d'un firmware Freebox à venir.

Les versions "unstable" : "alpha", "beta", "rc" sont là pour détecter des bugs et aussi permettre aux utilisateurs du code en question de faire les ajustements dans leurs produits pour être prêt dès la sortie de la version "final".

Mais comme je l'ai déjà dit, lorsque l'on développe un produit ou une famille de produits, il y a différentes branches : https://git-scm.com/book/fr/v2/Les-branches-avec-Git-Travailler-avec-les-branches.

Il y a une base "master" ou "main" et dans cette base, il y a des ajustements spécifiques dans le code
Une base pour le côté Server : Revolution / Mini 4K / Delta / Pop et une autre base pour le côté Player (Revolution et Devialet) également.
Il faut séparer les Players Android (Mini 4K et Pop).

Puis il y a une branche "devel" puis il peut avoir d'autres branches qui seront fusionnées dans "devel", puis la branche "devel" est fusionnée dans la branche "master"/"main".

Une branche, par exemple nommée "openvpn", mise à jour régulièrement, peut être testée facilement, adaptée, corrigée, puis fusionnée dans la branche "devel" puis dans la branche "master"/"main".

Cela permet d'avoir un code up-to-date.

Si le développement se fait mal, c'est sûr qu'il est très difficile de mettre à jour la branche principale car cela prend plus de temps (vu le retard).

Malheureusement, nous pouvons voir le manque de suivi des librairies/softwares dans le code source des différents firmwares Freebox.

Sans oublier le nombre de failles de sécurité (CVEs)...

Neustradamus (Neustradamus_)
Thursday 1 October, 2020 04:46:38

Pardon, j'ai oublié de spécifier la Freebox One qui va également dans le côté Server et Player.

Neustradamus (Neustradamus_)
Monday 19 October, 2020 22:32:53

OpenVPN 2.5.0 RC3 (2020-10-15) :
- https://openvpn.net/
- https://github.com/OpenVPN/openvpn/releases

Voir toutes les améliorations de la 2.5.0 presque finale "RC3" dans l'email d'annonce :
- https://sourceforge.net/p/openvpn/mailman/message/37132033/

OpenVPN 2.5 is a new major release with many new features:
- Client-specific tls-crypt keys (–tls-crypt-v2)
- Added support for using the ChaCha20-Poly1305 cipher in the OpenVPN data channel
- Improved Data channel cipher negotiation
- Removal of BF-CBC support in default configuration
- Asynchronous (deferred) authentication support for auth-pam plugin
- Deferred client-connect
- Faster connection setup
- Netlink support
- Wintun support
- IPv6-only operation
- Improved Windows 10 detection
- Linux VRF support
- TLS 1.3 support
- Support setting DHCP search domain
- Handle setting of tun/tap interface MTU on Windows
- HMAC based auth-token support
- VLAN support
- Support building of .msi installers for Windows
- Allow unicode search string in –cryptoapicert option (Windows)
- Support IPv4 configs with /31 netmasks now
- New option –block-ipv6 to reject all IPv6 packets (ICMPv6)
- MSI installer (Windows)
- The MSI installer now bundles EasyRSA 3, a modern take on OpenVPN CA management

Overview of changes in OpenVPN v2.5:
- https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn25

Rappel pour la 2.4.x (il manque toujours des options) :
Overview of changes in OpenVPN v2.4:
- https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24

Chargement...