2014-12-02

OpenVPNの脆弱性(CVE-2014-8104)について

By Taro Yamazaki  |  12:13 No comments

OpenVPNに関連する脆弱性(CVE-2014-8104)についての情報が公開されています。この脆弱性への対応が行われたOpenVPNの新しいバージョン(2.3.6)がリリースされていますので、なるべく早くアップデートするようにしてください。

OpenVPN公式サイトでこの脆弱性に関する情報が掲載されていましたので、日本語訳を掲載します(誤訳がある可能性もありますので、原文もご覧になることをお勧めします)。


概要

2014年11月下旬、Dragana Damjanovic によってOpenVPNのサービス拒否攻撃に関連する脆弱性(CVE-2014-8104)の報告がありました。この脆弱性を突くことにより、TLS認証済みのクライアントが小さなコントロールチャンネルパケットを送信することでOpenVPNサーバーをクラッシュさせることが可能になります。この脆弱性は「サービス拒否攻撃」にあたります。

修正されたバージョンであるOpenVPN 2.3.6が2014年12月1日 18:00 UTC にリリースされました。この修正はOpenVPN 2.2ブランチおよびリリース済みのOpenVPN 2.2.3 にもバックポートされています。

影響範囲

この脆弱性は 2005年以降にリリースされたOpenVPN 2.x のすべてのバージョンに影響を与えます(これ以前のバージョンにも影響を与える可能性があります)。なお、この脆弱性の影響を受けるのはサーバー機能のみです。トラフィックの機密性や信ぴょう性には影響を与えません

OpenVPN Connectクライアント(Android、iOS)で使用されている OpenVPN 3.x コードベースはこの脆弱性はありませんし、サーバー側では使用されていません。

緩和する要素

OpenVPN サーバーの脆弱性を攻撃できるのは TLSで認証されたクライアントだけです。したがって、すべてのOpenVPNクライアントが信頼できるものであれば(流出/悪用されていなければ)、クライアント証明書とTLS-Authによってこの攻撃から防御することができることになります。ユーザー名/パスワードによる認証ではこの攻撃の防御はできません。また、サーバーで --client-cert-not-required を指定すると、攻撃の防御となるクライアント証明書が不要になるため、防御できなくなります。

クライアント証明書やTLS-Authの鍵を誰でも入手できる一部のVPNサービスプロバイダはこの脆弱性の影響を受けます。

OpenVPNの攻撃の実現性

認証されたクライアントによるこの脆弱性への攻撃によって、OpenVPNが簡単にクラッシュさせられることが確認されています。しかし、修正されたバージョン 2.3.6 のリリース以前にこの攻撃が行われたという情報はありません。

修正方法

修正されたバージョンのOpenVPNをインストールしてください。公式リリース版を使用している場合は、OpenVPN 2.3.6 または最新版の Git "master" を使用してください。OSのリポジトリからインストールしている場合は、そのリポジトリから最新版を取得してください。

OpenVPN 2.2ベースのパッケージを使用している場合は、Gitリポジトリのrelease/2.2ブランチにあるバックポートされたパッチを適用してください。

Access Serverへの影響

Access Serverのバージョン 2.0.11 以前にはこの脆弱性があります。修正後にリリースされた最初のバージョンは 2.0.11 になります。できるだけ早くアップデートを適用してください。

Image courtesy of Stuart Miles / FreeDigitalPhotos.net

Author: Taro Yamazaki

0 コメント:

© 2015 yamata::memo | Distributed By My Blogger Themes | Created By BloggerTheme9
TOP