「OpenVPN」に深刻な脆弱性 - 2024年6月の更新で修正済み
オープンソースのVPNソフトウェア「OpenVPN」において深刻な脆弱性が判明した。2024年6月のアップデートで修正され、翌7月には不具合へ対処した追加パッチがリリースされている。
「OpenVPN」の開発チームでは、現地時間2024年6月21日にアップデート「OpenVPN 2.6.11」をリリース。新機能の追加やバグの修正のほか、3件の脆弱性に対処したことを公表しているが、深刻な脆弱性へ対処していたことが明らかとなった。
「CVE-2024-5594」は、「PUSH_REPLY」メッセージの不適切な処理に起因。第三者のプラグインや実行ファイルに対して任意のデータを挿入されるおそれがある脆弱性だという。
現地時間2024年1月6日に米国立標準技術研究所(NIST)の脆弱性データベース「NVD」へ登録された。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。
開発チームでは、「OpenVPN 2.6.11」で制御チャネルメッセージに含まれる不正な非表示文字を拒否する対策を講じることで、同脆弱性に対応した。ただし、同アップデートを適用すると一部正当なエラーメッセージが拒否されるケースが確認されており、同不具合へ対応した「同2.6.12」が2024年7月にリリースされている。
また「同2.6.11」では、認証されたクライアントにより本来切断されるセッションが維持され、リソースを消費される「CVE-2024-28882」や、Windows環境でトークン情報を奪取され、権限の昇格が可能となる「CVE-2024-4877」についても修正されている。
(Security NEXT - 2025/01/07 )
ツイート
PR
関連記事
教員がサポート詐欺被害、NAS内の個人情報が流出か - 山形大付属中
市バスのドラレコ映像が保存されたUSBメモリが所在不明 - 川崎市
がん検診クーポン券に別人の住所、委託事業者のミスで - 横須賀市
個人情報流出の可能性、高負荷から事態を把握 - 楽待
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
