OpenVPNの脆弱性(High: CVE-2024-4877, Moderate: CVE-2025-2704)

04/06/2025にOpenVPNの脆弱性(High: CVE-2024-4877, Moderate: CVE-2025-2704)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

一次情報源

CVSS/プライオリティ

  • CVE-2024-4877
    • 影響するバージョン
      • OpenVPN 2.4.0 – 2.6.10 (Windows)
    • Priority
      • NVD: 8.8(HIGH)
      • Red Hat:
    • CVSS Score / CVSS Vector
      • NVD: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
      • Red Hat:
    • EPSS
      • date: 2025-04-05
      • epss: 0.000270000
      • percentile: 0.045440000
  • CVE-2025-2704
    • 影響するバージョン
      • 2.6.1 – 2.6.13
    • Priority
      • NVD:
      • Red Hat:
    • CVSS Score / CVSS Vector
      • NVD:
      • Red Hat:
    • EPSS
      • date: 2025-04-05
      • epss: 0.000520000
      • percentile: 0.131740000

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://www.cve.org/CVERecord?id=CVE-2024-4877
    • 権限昇格の脆弱性
    • OpenVPN (Windows)でのversion 2.4.0 – 2.6.10では外部の低い権限のプロセスが名前付きパイプをOpenVPNGUIコンポーネント接続用に作成することで、権限を昇格できる可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2025-2704
    • DoSの可能性
    • OpenVPN version 2.6.1 -2.6.13のサーバでTLS-crypt-v2を使用している場合、リモートの攻撃者がハンドシェイクの初期段階でネットワークパケットのリプレイ攻撃を行うなどでDoSを仕掛けることが出来ます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

タイトルとURLをコピーしました