あなたはOpenVPNのユーザーですか? ソフトウェアは今週、4つの脆弱性にパッチを適用しました. 欠陥の1つは非常に深刻です。リモートでコードが実行されるバグであり、認証された攻撃者が侵害されたボックスでコードを実行する可能性があります。. 脆弱性はCVE-2017-7521として識別されます.
CVE-2017-7521技術的な詳細
この欠陥はOpenVPNサーバー側に影響します, そしてGuidoVrankenによって説明されたように, この欠陥により、「証明書処理でのリモートサーバーのクラッシュ/ダブルフリー/メモリリーク」が発生する可能性があります. 加えて:
CVE-2017-7521はサーバーの利用可能なメモリを枯渇させる可能性があります, 'ダブルフリーにつながる可能性があります,'これはサーバーのメモリを破壊する方法です. 要するに, 最悪のシナリオは、ユーザーがサーバー上でコードを実行できることです。. これは最悪の脆弱性です. 彼らは認証し、細工したデータを送信します, その後、サーバーがクラッシュします. これは気になる問題だと思います (商業) VPNプロバイダー, だから彼らは間違いなくできるだけ早く更新する必要があります.
その他の欠陥 (CVE-2017-7520, CVE-2017-7522, CVE-2017-7508)
4つの欠陥すべてのパッチ, CVE-2017-7521を含む, バグを見つけるためにファザーを使用したVrankenによって非公開に開示された後に発行されました.
欠陥は公の攻撃で悪用されましたか? 研究者は彼が知らないと言います. 「これは私が言うのは難しいです. でも、好奇心から数週間の暇な時間にこれができれば, 政治的目的を持った多額の資金提供を受けた組織もそれを行うことができます," 彼が説明しました.
研究者が遭遇した3つの欠陥は、サーバー側でサーバーがクラッシュする原因でした。. クライアント側の欠陥により、ハッカーはパスワードを盗んでプロキシにアクセスできるようになります. サーバー側の欠陥により、ハッカーを認証する必要があります.
サーバーのすべての問題では、ユーザーが認証されている必要があります. これには、システム管理者が悪意のあるユーザーの証明書に署名する必要があります. プライベートサーバーを実行している個々のユーザーの場合、これが発生する可能性はほとんどありません。, しかし、大規模なグループのこのプロセスを自動化したVPNサービスには適していません。 (信頼できない) ユーザー.
完全なレポートを表示できます ここ.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: