OpenVPN 2.6.14がリリースされました。セキュリティ修正(サーバーのみ)を含んだアップデートです。
詳細はこちらを参照してください。
- CVE-2025-2704:
--tls-crypt-v2を使用する OpenVPN サーバーで ASSERT() が発生する可能性がある問題を修正- 影響範囲: OpenVPN 2.6.1 から 2.6.13 の間のバージョンで
--tls-crypt-v2を使用しているサーバー - 詳細: 認証されたパケットと不正なパケットの特定の組み合わせを送信することで、
ASSERT()による異常終了を引き起こせる - 条件: 攻撃を成功させるには、正当な
tls-crypt-v2クライアントキー、または正当なtls-crypt-v2クライアントキーを使用したハンドシェイクのネットワークの窃視が必要 - 影響: 暗号の完全性は侵害されず、データ漏洩やリモートコード実行のリスクもなし(OpenVPN クライアントには影響なし)
- 影響範囲: OpenVPN 2.6.1 から 2.6.13 の間のバージョンで
- Linux DCO:
--multihome使用時の送信元 IP 選択の不具合を修正 - Windows: MSIインストーラのアップデート、OpenSSLのアップデート、openvpn-guiのアップデート
最新版はダウンロードページからダウンロードできます。ARM64向けバイナリや旧バージョンはOpenVPN公式サイトからダウンロードしてください。
