Összefoglaló
Az OpenVPN magas kockázati besorolású sérülékenysége vált ismertté, amely távoli kódfuttatást tesz lehetővé. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A támadó kihasználhatja az OpenVPN read-key() függvényében található biztonsági rést, ha egy speciálisan létrehozott kulcsot küld az érintett rendszernek. Amennyiben sikerrel jár, puffer túlcsordulást okozhat, ami tetszőleges kódfuttatást tesz lehetővé.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A hiba javításra került az OpenVPN 2.5-ös verziójában.
Támadás típusa
execute arbitrary codeHatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: tools.cisco.com
CVE-2017-12166 - NVD CVE-2017-12166