Virtual özəl şəbəkələr yaratmaq üçün nəzərdə tutulmuş paketdəki zəifliyin (CVE-2024-5594) təfərrüatları açıqlanıb. OpenVPN, bu da ixtiyari məlumatların bağlantının digər ucundakı üçüncü tərəf icra edilə bilən fayllara və ya plaginlərə dəyişdirilməsinə səbəb ola bilər. Zəiflik, PUSH_REPLY kimi idarəetmə mesajlarını emal edərkən boş baytlar və etibarsız simvollar üçün yoxlamaların olmamasından qaynaqlanır.
Problem buraxılışlarda həll edildi OpenVPN 2024-cü ilin iyun ayında buraxılmış 2.5.11 və 2.6.11 versiyaları. Buraxılış qeydlərində zəiflik, zibil məlumatlarının jurnala yazılmasına və ya CPU yükünün artmasına səbəb olan kiçik bir problem kimi təsvir edilmişdir. Bir neçə gün əvvəl dərc edilmiş yeniləmədə problem kritik səviyyəyə yüksəldildi (ciddilik səviyyəsi 10 baldan 9.1).
Əməliyyat təfərrüatları hələlik verilməyib. Düzəliş etibarsız simvollarla mesajların işlənməsini dayandırmaq və yalnız null bayta qədər olan hissədə deyil, bütün buferdə etibarsız simvolların olub olmadığını yoxlamaqdır. "AUTH_FAILED", "PUSH_*", "RESTART", "HALT", "INFO_PRE", "INFO", "CR_RESPONSE", "AUTH_PENDING" və "EXIT" əmrləri üçün xüsusi simvolların yoxlanılması və null bayt əlavə edilib. .
Mənbə: opennet.ru
