[TLP:CLEAR] OpenVPN opravuje 1 zranitelnost
OpenVPN verzemi 2.6.14-I002 a 2.7_alpha2-I001 opravuje 1 zranitelnost v komponentě ovpn-dco-win produktu OpenVPN GUI pro Windows [1].
Autentizovanému lokálnímu útočníkovi je kvůli chybě v ovladači DCO (ovpn-dco-win) umožněno odeslat příliš velkou zprávu i skrze neprivilegovaný proces a vykonat útok DoS [1][2].
Zranitelnost se nachází v produktech:
- ovpn-dco-win ve verzích (<=1.3.0) OR (>=1.3.0 AND <=2.5.8)
- OpenVPN GUI (Windows) ve verzích (>=2.6.0-I005 AND <=2.6.14-I001) OR (==2.7_alpha1-I001)
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-50054 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 20. 6. 2025.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 26. 6. 2025.