「OpenVPN」に「OVPNX脆弱性」 - 3月の更新で修正済み

「OpenVPN」の開発チームは、3月に「OpenVPN 2.6.10」をリリースし、Windows版における複数の脆弱性を修正した。発見した研究者によって別名「OVPNX」と名付けられており、8月に開催されるBlack Hatで発表される予定だという。

マイクロソフトの研究者からWindows環境における4件の脆弱性について報告を受けた開発チームは、3月にバグとともに脆弱性を修正した「OpenVPN 2.6.10」をリリースした。

具体的には、任意のディレクトリからプラグインを読み込むことができ、信頼できないプラグインがロードされる脆弱性「CVE-2024-27903」を修正。

スタックオーバーフローによる権限の昇格が生じる「CVE-2024-27459」や、リモートよりサービスパイプへアクセスできる「CVE-2024-24974」を解消した。

修正当初、共通脆弱性評価システム「CVSSv3」のベーススコアや重要度などは示されていなかったが、7月に入り米国立標準技術研究所（NIST）の脆弱性データベース「NVD」や、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が評価を公表している。

「NVD」では、「CVE-2024-27903」のCVSS基本値を「9.8」とし、重要度を「クリティカル（Critical）」とレーティング。「CVE-2024-27459」を「7.8」、「CVE-2024-24974」を「7.5」とし、重要度を「高（High）」とした。

（Security NEXT - 2024/07/22 ）ツイート