OpenVPN opravuje 1 zraniteľnosť

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] OpenVPN opravuje 1 zraniteľnosť

OpenVPN verziou 2.6.14 opravuje 1 zraniteľnosť [1]. Opravu zatiaľ nevydal žiaden z populárnych operačných systémov.

OpenVPN - DoS (CVE-2025-2704)

Autentizovanému vzdialenému útočníkovi je umožnené spôsobiť DoS útok na OpenVPN server zasielaním špeciálne vytvorených paketov. Pre zneužitie zraniteľnosti je potrebné, aby bola inštancia spustená s možnosťou "--tls-crypt-v2" a taktiež je potrebné, aby mal útočník k dispozícii validný tls-crypt-v2 kľúč, ktorý ale môže byť odcudzený z pozície MITM [1].

Zraniteľnosť sa nachádza v produkte OpenVPN vo verziách >=2.6.1 AND <2.6.14.

Viac informácií:

CVE-2025-2704 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-754: Improper Check for Unusual or Exceptional Conditions at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 2. 4. 2025.

Odkazy

[1] https://www.openwall.com/lists/oss-security/2025/04/02/5

Za CESNET-CERTS Martin Krajči dňa 3. 4. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] OpenVPN opravuje 1 zraniteľnosť

OpenVPN - DoS (CVE-2025-2704)

Odkazy