OpenVPN 2.3.3 i 2.3.6 łatają podatność na DoS

OpenVPN 2.3.3 i 2.3.6 łatają podatność na DoS

    przez -
    4 1106
    OpenVPN logo
    Społeczność projektu OpenVPN poinformowała o szybkim wydaniu OpenVPN 2.2.3 i OpenVPN 2.3.6. Pod koniec listopada użytkowniczka Dragana Damjanovic poinformowała deweloperów o krytycznym błędzie bezpieczeństwa typu Denial of Service w usłudze serwera OpenVPN (CVE-2014-8104). Wykorzystanie tej podatności przez uwierzytelnionego użytkownika, powoduje niedostępność usługi, poprzez wysłanie zbyt krótkiego Packet Data Control Channel (PDCCH) do serwera. Błąd występuje we wszystkich wydanych wersjach OpenVPN 2.x od 2005 roku.

    Problem dotyczy tylko serwera OpenVPN (nie klientów). Nie są zagrożone również dane przesyłane do serwera, ani klucze użytkowników. Błąd pozwala jedynie na unieruchomienie usługi OpenVPN, w dodatku użytkownik przesyłający złośliwy pakiet, musi już być uwierzytelniony. Z tego powodu na atak najbardziej narażeni są dostawcy usług VPN.

    Problem dotyczy wszystkich wersji OpenVPN 2.x wydanych po 2005 roku. Wersja OpenVPN 3.x nie jest narażona na ten atak.

    Twórcy zalecają natychmiastową aktualizację, poprzez pobranie najnowszej wersji z oficjalnej strony lub z brancha master w oficjalnym repozytorium Git.

    Zapraszamy także do zapoznania się z naszym artykułem o konfiguracji OpenVPN.

    Podobne artykuły

    OpenVPN logo

    przez -
    33 1967
    OpenVPN logo

    przez -
    2 820