Säkerhetsbulletin från Debian

DSA-3900-1 openvpn -- säkerhetsuppdatering

Rapporterat den:
2017-06-27
Berörda paket:
openvpn
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 865480.
I Mitres CVE-förteckning: CVE-2017-7479, CVE-2017-7508, CVE-2017-7520, CVE-2017-7521.
Ytterligare information:

Flera problem har upptäckts i openvpn, en applikation för virtuella privata nätverk.

  • CVE-2017-7479

    Man har upptäckt att openvpn inte hanterar övergången av paketidentifierare ordentligt. Detta kunde tillåta en autentiserad fjärrangripare att orsaka en överbelastning via applikationskrasch.

  • CVE-2017-7508

    Guido Vranken upptäckte att openvpn inte hanterar specifika felaktigt formatterade IPv6-paket ordentligt. Detta kunde tillåta en autentiserad fjärrangripare att orsaka en överbelastning via applikationskrasch.

  • CVE-2017-7520

    Guido Vranken upptäckte att openvpn inte hanterar klienter som ansluter till en HTTP proxy med NTLMv2-autentisering ordentligt. Detta kunde tillåta en fjärrangripare att orsaka en överbelastning via applikationskrasch, eller potentiellt läcka käsnligt information som användarens proxylösenord.

  • CVE-2017-7521

    Guido Vranken upptäckte att openvpn inte hanterade vissa x509-utökningar ordentligt. Detta kunde tillåta en fjärrangripare att orsaka en överbelastning via applikationskrasch.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 2.3.4-5+deb8u2.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.4.0-6+deb9u1.

För uttestningsutgåvan (Buster) har dessa problem rättats i version 2.4.3-1.

För den instabila distributionen (Sid) har dessa problem rättats i version 2.4.3-1.

Vi rekommenderar att ni uppgraderar era openvpn-paket.