Zraniteľnosť v OpenVPN možno zneužiť na zneprístupnenie služby

Vývojári OpenVPN vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú vysoko závažnú zraniteľnosť. Zraniteľnosť s identifikátorom CVE-2025-2704 možno zneužiť na zneprístupnenie služby.

Zraniteľné systémy:

• OpenVPN vo verziách 2.6.1 až 2.6.13

Pozn.: Zraniteľnosť je možné zneužiť len na inštanciách OpenVPN prevádzkovaných v režime servera, ktoré využívajú funkcionalitu TLS-crypt-v2.

Opis zraniteľnosti:

CVE-2025-2704 (CVSS 3.1 skóre: 7,5)

Zraniteľnosť spočíva v nedostatočnom overovaní hraničných a chybových stavov a vzdialený neautentifikovaný útočník by ju vo fáze počiatočného handshaku mohol zneužiť na zneprístupnenie služby. Zraniteľnosť možno zneužiť opakovaným zasielaním špeciálne vytvorených paketov.

Možné škody:

• Zneprístupnenie služby

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladnú aktualizáciu OpenVPN na verziu 2.6.14 alebo novšiu.

Zraniteľnosť možno mitigovať deaktiváciou mechanizmu tls-crypt-v2 v konfiguračnom súbore OpenVPN.

Zdroje:

• https://community.openvpn.net/openvpn/wiki/CVE-2025-2704
• https://nvd.nist.gov/vuln/detail/CVE-2025-2704
• https://vulert.com/vuln-db/debian-11-openvpn-187551