2017/5/11にOpenVPN 2.4.2がリリースされました。
このバージョンはいくつかのバグフィックスに加えて、以下の2つのDOS攻撃対策が行われています。
- 巨大なサイズのコントロールパケットを送り込むことにより、
ASSERT()
が発生して OpenVPN プロセスが停止させられる可能性があります(CVE-2017-7478)。対象となるバージョンは OpenVPN 2.3.12以降 です。なお、--tls-auth
か--tls-crypt
が設定されている場合、攻撃を成功させるには攻撃側が正しいTLS鍵を保持している必要があるため、危険性は大幅に低下します。 - 認証済みクライアントがサーバーのパケットIDカウンタをロールオーバーを引き起こし、
ASSERT()
が発生して OpenVPN プロセスが停止させられる可能性があります(CVE-2017-7479)。この攻撃を成功させるには、クライアントはサーバーに対して最低でも 196GB のデータを送り付ける必要があります。
上記の詳細についてはこちらを参照してください。