Рекомендация Debian по безопасности

DSA-3900-1 openvpn -- обновление безопасности

Дата сообщения:
27.06.2017
Затронутые пакеты:
openvpn
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 865480.
В каталоге Mitre CVE: CVE-2017-7479, CVE-2017-7508, CVE-2017-7520, CVE-2017-7521.
Более подробная информация:

В openvpn, приложении для работы с виртуальной частной сетью, было обнаружено несколько проблем.

  • CVE-2017-7479

    Было обнаружено, что openvpn неправильно обрабатывает выгрузку идентификаторов пакетов. Это может позволить аутентифицированному удалённому злоумышленнику вызвать отказ в обслуживании из-за аварийной остановки приложения.

  • CVE-2017-7508

    Гвидо Вранкен обнаружил, что openvpn неправильно обрабатывает определённые специально сформированные IPv6-пакеты. Это может позволить удалённому злоумышленнику вызвать отказ в обслуживании из-за аварийной остановки приложения.

  • CVE-2017-7520

    Гвидо Вранкен обнаружил, что openvpn неправильно обрабатывает клиентские подключения к HTTP-прокси с аутентификацией NTLMv2. Это может позволить удалённому злоумышленнику вызвать отказ в обслуживании из-за аварийной остановки приложения, либо может приводить к утечке чувствительной информации (например, пользовательского пароля от прокси).

  • CVE-2017-7521

    Гвидо Вранкен обнаружил, что openvpn неправильно обрабатывает некоторые расширения x509. Это может позволить удалённому злоумышленнику вызвать отказ в обслуживании из-за аварийной остановки приложения.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.3.4-5+deb8u2.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2.4.0-6+deb9u1.

В тестируемом выпуске (buster) эти проблемы были исправлены в версии 2.4.3-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.4.3-1.

Рекомендуется обновить пакеты openvpn.