Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「OpenVPN」に深刻な脆弱性 - 2024年6月の更新で修正済み

オープンソースのVPNソフトウェア「OpenVPN」において深刻な脆弱性が判明した。2024年6月のアップデートで修正され、翌7月には不具合へ対処した追加パッチがリリースされている。

「OpenVPN」の開発チームでは、現地時間2024年6月21日にアップデート「OpenVPN 2.6.11」をリリース。新機能の追加やバグの修正のほか、3件の脆弱性に対処したことを公表しているが、深刻な脆弱性へ対処していたことが明らかとなった。

「CVE-2024-5594」は、「PUSH_REPLY」メッセージの不適切な処理に起因。第三者のプラグインや実行ファイルに対して任意のデータを挿入されるおそれがある脆弱性だという。

現地時間2024年1月6日に米国立標準技術研究所(NIST)の脆弱性データベース「NVD」へ登録された。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。

開発チームでは、「OpenVPN 2.6.11」で制御チャネルメッセージに含まれる不正な非表示文字を拒否する対策を講じることで、同脆弱性に対応した。ただし、同アップデートを適用すると一部正当なエラーメッセージが拒否されるケースが確認されており、同不具合へ対応した「同2.6.12」が2024年7月にリリースされている。

また「同2.6.11」では、認証されたクライアントにより本来切断されるセッションが維持され、リソースを消費される「CVE-2024-28882」や、Windows環境でトークン情報を奪取され、権限の昇格が可能となる「CVE-2024-4877」についても修正されている。

(Security NEXT - 2025/01/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

快活フロンティアにサイバー攻撃 - 個人情報流出の可能性
フィッシングURLが過去最多の約12万件 - 報告も23万件超に
「Fortra Application Hub」に脆弱性 - アップデートを提供
Node.js向けDB操作ライブラリ「Mongoose」に脆弱性
消防設備士試験で他人の受験票 - 消防試験研究センター
Zyxel製ルータやアクセスポイントに脆弱性 - アップデートを
「GMO Flatt Security」に商号変更 - グループブランドを活用
小学校でサポート詐欺被害、「情報流出なし」と結論 - 浦添市
「MS 365」のログ活用、脅威検知分析を実現する資料 - 米当局
海外子会社にサイバー攻撃、情報流出の可能性 - 西尾レントオール