「OpenVPN」に深刻な脆弱性 - 2024年6月の更新で修正済み
オープンソースのVPNソフトウェア「OpenVPN」において深刻な脆弱性が判明した。2024年6月のアップデートで修正され、翌7月には不具合へ対処した追加パッチがリリースされている。
「OpenVPN」の開発チームでは、現地時間2024年6月21日にアップデート「OpenVPN 2.6.11」をリリース。新機能の追加やバグの修正のほか、3件の脆弱性に対処したことを公表しているが、深刻な脆弱性へ対処していたことが明らかとなった。
「CVE-2024-5594」は、「PUSH_REPLY」メッセージの不適切な処理に起因。第三者のプラグインや実行ファイルに対して任意のデータを挿入されるおそれがある脆弱性だという。
現地時間2024年1月6日に米国立標準技術研究所(NIST)の脆弱性データベース「NVD」へ登録された。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。
開発チームでは、「OpenVPN 2.6.11」で制御チャネルメッセージに含まれる不正な非表示文字を拒否する対策を講じることで、同脆弱性に対応した。ただし、同アップデートを適用すると一部正当なエラーメッセージが拒否されるケースが確認されており、同不具合へ対応した「同2.6.12」が2024年7月にリリースされている。
また「同2.6.11」では、認証されたクライアントにより本来切断されるセッションが維持され、リソースを消費される「CVE-2024-28882」や、Windows環境でトークン情報を奪取され、権限の昇格が可能となる「CVE-2024-4877」についても修正されている。
(Security NEXT - 2025/01/07 )
ツイート
PR
関連記事
ベトナム子会社でランサム被害、製造出荷に影響なし - 大日精化工業
Fortinet複数製品の認証回避脆弱性、悪用が発生 - 設定確認を
「Apache Commons Text」旧版に深刻な脆弱性 - 「FileMaker Server」に影響
「Chrome」にアップデート - 「WebGPU」「V8」の脆弱性を解消
職員アカウントが侵害、迷惑メールの踏み台に - 中部生産性本部
SAP、月例パッチで脆弱性15件を修正 - 「クリティカル」も
非常用個人情報を電車に置き忘れ、車庫で回収 - 静岡市
AppleやGladinet製品の脆弱性悪用に注意喚起 - 米当局
「iOS」にアップデート - 「WebKit」のゼロデイ脆弱性2件など修正
複数サーバやPCがランサム被害、影響など調査 - 三晃空調
