OpenVPN vydala kritické bezpečnostné aktualizácie pre svoje stabilné a 2.7 vývojové vetvy, ktoré riešia tri slabé miesta, ktoré by mohli viesť k miestnemu odmietnutiu služby (DoS), obchádzaniu zabezpečenia a nadmernému čítaniu vyrovnávacej pamäte.
Opravy, ktoré sú súčasťou novo vydanej verzie 2.6.17 a 2.7_rc3, opravujú problémy od logických chýb pri overovaní HMAC až po chyby stability v interaktívnej službe Windows.
Správcov vyzývame, aby okamžite inovovali, najmä tých, ktorí používajú OpenVPN v systéme Windows alebo využívajú kandidátov na vydanie 2.7.
Windows Interactive Service DoS (CVE-2025-13751)
Najvýznamnejším problémom pre prostredia Windows je CVE-2025-13751, lokálna zraniteľnosť odmietnutia služby, ktorá ovplyvňuje komponent interaktívnej služby.
Chyba zahŕňa chybnú ukončovaciu rutinu, pri ktorej sa služba úplne vypne pri výskyte špecifických chybových podmienok, a nie zaznamenanie chyby a pokračovanie v operáciách.
Túto zraniteľnosť môže spustiť ktorýkoľvek overený lokálny používateľ, čo z nej robí mierne riziko pre systémy Windows s viacerými používateľmi.
Po spustení sa služba OpenVPN ukončí, čím sa zabráni akýmkoľvek novým pripojeniam VPN, kým sa služba manuálne nereštartuje alebo sa systém nereštartuje. Tento problém sa týka verzie OpenVPN 2.6.0 až 2.6.16 a 2.7_alpha1 až 2.7_rc2. Je to vyriešené v 2.6.17 a 2.7_rc3.
Vynechanie overenia HMAC (CVE-2025-13086)
Pri overovacej kontrole HMAC použitej počas trojstranného nadviazania spojenia sa našla vážna logická chyba označená ako CVE-2025-13086. V dôsledku invertovaného volania memcmp() v kóde systém neúmyselne akceptoval všetky súbory cookie HMAC, čím účinne neutralizoval overenie zdrojovej IP adresy.
Toto zlyhanie umožňuje útočníkom obísť počiatočnú overovaciu vrstvu, potenciálne otvárať relácie TLS a konzumovať stav servera z adries IP, ktoré neiniciovali legitímne pripojenie.
Aktualizácia tiež presadzuje prísnejšie kontroly časových úsekov a odmieta HMAC z budúcich časových pečiatok. Táto chyba zabezpečenia ovplyvňuje verzie 2.6.0 až 2.6.15 a je opravená v 2.6.16 (a je zahrnutá v 2.6.17).
Prečítanie vyrovnávacej pamäte IPv6 (CVE-2025-12106)
Pre používateľov vo vývojovej vetve (séria 2.7) predstavuje CVE-2025-12106 problém s vysokou závažnosťou bezpečnosti pamäte. Zraniteľnosť pramení z nezhodnej kontroly rodiny adries vo funkcii get_addr_generic, čo môže viesť k nadmernému čítaniu vyrovnávacej pamäte haldy pri analýze neplatného vstupu IPv6.
Aj keď bola táto chyba v niektorých správach ohodnotená kritickým skóre CVSS 9,1 kvôli jej potenciálu na poškodenie pamäte, je prísne obmedzená na zostavy 2.7_alpha1 až 2.7_rc1 a neovplyvňuje stabilnú vetvu 2.6.
Nasledujúca tabuľka sumarizuje zraniteľnosti a požadované verzie na ich zmiernenie. Používatelia stabilnej vetvy by sa mali zamerať na 2.6.17, zatiaľ čo používatelia testovacej vetvy sa musia aktualizovať na 2.7_rc3.
Chyba zabezpečenia CVE IDV TypeImpactOvplyvnené verzie Opravené InCVE-2025-13751Lokálne zlyhanie služby DoSService v systéme Windows2.6.0–2.6.16
2.7_alpha1–2.7_rc22.6.17
2.7_rc3CVE-2025-13086Zlyhanie kontroly HMAC obídenia zabezpečenia2.6.0–2.6.15
2.7_alpha1–2.7_rc12.6.16
2.7_rc2CVE-2025-12106 Prečítanie vyrovnávacej pamäte Neplatná analýza IPv62.7_alpha1–2.7_rc12.7_rc2
Sledujte nás na Google News, LinkedIn a X a získajte denné aktualizácie kybernetickej bezpečnosti. Kontaktujte nás a predstavte svoje príbehy.
