Date Category ニュース.

2017/5/11にOpenVPN 2.4.2がリリースされました。

このバージョンはいくつかのバグフィックスに加えて、以下の2つのDOS攻撃対策が行われています。

  • 巨大なサイズのコントロールパケットを送り込むことにより、 ASSERT() が発生して OpenVPN プロセスが停止させられる可能性があります(CVE-2017-7478)。対象となるバージョンは OpenVPN 2.3.12以降 です。なお、 --tls-auth--tls-crypt が設定されている場合、攻撃を成功させるには攻撃側が正しいTLS鍵を保持している必要があるため、危険性は大幅に低下します。
  • 認証済みクライアントがサーバーのパケットIDカウンタをロールオーバーを引き起こし、 ASSERT() が発生して OpenVPN プロセスが停止させられる可能性があります(CVE-2017-7479)。この攻撃を成功させるには、クライアントはサーバーに対して最低でも 196GB のデータを送り付ける必要があります。

上記の詳細についてはこちらを参照してください。

変更点については原文 Changelog をご参照ください。
最新版はダウンロードページからダウンロードできます。