「OpenVPN」に深刻な脆弱性 - 2024年6月の更新で修正済み
オープンソースのVPNソフトウェア「OpenVPN」において深刻な脆弱性が判明した。2024年6月のアップデートで修正され、翌7月には不具合へ対処した追加パッチがリリースされている。
「OpenVPN」の開発チームでは、現地時間2024年6月21日にアップデート「OpenVPN 2.6.11」をリリース。新機能の追加やバグの修正のほか、3件の脆弱性に対処したことを公表しているが、深刻な脆弱性へ対処していたことが明らかとなった。
「CVE-2024-5594」は、「PUSH_REPLY」メッセージの不適切な処理に起因。第三者のプラグインや実行ファイルに対して任意のデータを挿入されるおそれがある脆弱性だという。
現地時間2024年1月6日に米国立標準技術研究所(NIST)の脆弱性データベース「NVD」へ登録された。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。
開発チームでは、「OpenVPN 2.6.11」で制御チャネルメッセージに含まれる不正な非表示文字を拒否する対策を講じることで、同脆弱性に対応した。ただし、同アップデートを適用すると一部正当なエラーメッセージが拒否されるケースが確認されており、同不具合へ対応した「同2.6.12」が2024年7月にリリースされている。
また「同2.6.11」では、認証されたクライアントにより本来切断されるセッションが維持され、リソースを消費される「CVE-2024-28882」や、Windows環境でトークン情報を奪取され、権限の昇格が可能となる「CVE-2024-4877」についても修正されている。
(Security NEXT - 2025/01/07 )
ツイート
PR
関連記事
廃棄物収集運搬の複数許可業者に個人情報を誤送信 - 名古屋市
委託先で個人情報含む書類を紛失、第三者の拾得で判明 - 川崎市
約2000人分の公金納付書が所在不明、誤廃棄の可能性 - 三井住友銀
富士通製パソコンの同梱認証ソフトに脆弱性 - 修正版が公開
「n8n」に深刻なRCE脆弱性 - 2025年11月の更新で修正済み
分散ストレージ「RustFS」に認証回避の深刻な脆弱性
データ圧縮ライブラリ「zlib」に含まれる「untgz」に深刻な脆弱性
教務支援システムでランサム被害、情報流出など調査 - 沖縄県立看護大
「Trend Micro Apex Central」にクリティカル脆弱性 - アップデートを公開
「Apache Uniffle」に脆弱性 - 中間者攻撃のおそれ
