「OpenVPN」に深刻な脆弱性 - 2024年6月の更新で修正済み
オープンソースのVPNソフトウェア「OpenVPN」において深刻な脆弱性が判明した。2024年6月のアップデートで修正され、翌7月には不具合へ対処した追加パッチがリリースされている。
「OpenVPN」の開発チームでは、現地時間2024年6月21日にアップデート「OpenVPN 2.6.11」をリリース。新機能の追加やバグの修正のほか、3件の脆弱性に対処したことを公表しているが、深刻な脆弱性へ対処していたことが明らかとなった。
「CVE-2024-5594」は、「PUSH_REPLY」メッセージの不適切な処理に起因。第三者のプラグインや実行ファイルに対して任意のデータを挿入されるおそれがある脆弱性だという。
現地時間2024年1月6日に米国立標準技術研究所(NIST)の脆弱性データベース「NVD」へ登録された。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。
開発チームでは、「OpenVPN 2.6.11」で制御チャネルメッセージに含まれる不正な非表示文字を拒否する対策を講じることで、同脆弱性に対応した。ただし、同アップデートを適用すると一部正当なエラーメッセージが拒否されるケースが確認されており、同不具合へ対応した「同2.6.12」が2024年7月にリリースされている。
また「同2.6.11」では、認証されたクライアントにより本来切断されるセッションが維持され、リソースを消費される「CVE-2024-28882」や、Windows環境でトークン情報を奪取され、権限の昇格が可能となる「CVE-2024-4877」についても修正されている。
(Security NEXT - 2025/01/07 )
ツイート
PR
関連記事
Google、ブラウザ最新版「Chrome 136」を公開 - 8件のセキュリティ修正
米当局、悪用が確認された脆弱性4件について注意喚起
海外子会社がランサム被害、影響など詳細を調査 - 淀川製鋼所
システム障害、調査でランサムウェアが原因と判明 - 近鉄エクスプレス
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
従業員がサポート詐欺被害、個人情報流出か - 住友林業クレスト
個人情報含む契約書類を誤送信、アドレス帳で選択ミス - 新潟県
生徒情報含むデータを第三者メアドへ誤送信 - 鹿児島高
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
中国電力にサイバー攻撃 - 設定不備のリモート接続機器より侵入
