ALT-PU-2022-2690-2

Серьёзность:

Закрытые проблемы (6)

BDU:2021-02221

MEDIUM5.3

Уязвимость функции отложенной аутентификации deferred_auth программного обеспечения OpenVPN, позволяющая нарушителю вынудить сервер вернуть сообщение PUSH_REPLY c данными о настройках VPN до отправки сообщения AUTH_FAILED

Опубликовано: 2021-04-27Изменено: 2024-11-14

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

Ссылки

CVE-2020-15078

BDU:2021-03572

HIGH7.8

Уязвимость библиотеки OpenSSL программного обеспечения OpenVPN, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2021-07-13

CVSS 3.xВЫСОКАЯ 7.8

CVSS:3.x/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0СРЕДНЯЯ 4.4

CVSS:2.0/AV:L/AC:M/Au:N/C:P/I:P/A:P

Ссылки

CVE-2021-3606

BDU:2022-01642

MEDIUM4.8

Уязвимость программного обеспечения OpenVPN, связанная с недостатками процедуры аутентификации, позволяющая нарушителю обойти процесс аутентификации и получить доступ к конфиденциальной информации

Опубликовано: 2022-03-31Изменено: 2022-10-20

CVSS 3.xСРЕДНЯЯ 4.8

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:P/A:N

Ссылки

CVE-2022-0547

CVE-2020-15078

HIGH7.5

OpenVPN 2.5.1 and earlier versions allows a remote attackers to bypass authentication and access control channel data on servers configured with deferred authentication, which can be used to potentially trigger further information leaks.

Опубликовано: 2021-04-26Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки

CVE-2021-3606

HIGH7.8

OpenVPN before version 2.5.3 on Windows allows local users to load arbitrary dynamic loadable libraries via an OpenSSL configuration file if present, which allows the user to run arbitrary code with the same privilege level as the main OpenVPN process (openvpn.exe).

Опубликовано: 2021-07-02Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 4.4

CVSS:2.0/AV:L/AC:M/Au:N/C:P/I:P/A:P

CVSS 3.xВЫСОКАЯ 7.8

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2022-0547

CRITICAL9.8

OpenVPN 2.1 until v2.4.12 and v2.5.6 may enable authentication bypass in external authentication plug-ins when more than one of them makes use of deferred authentication replies, which allows an external user to be granted access with only partially correct credentials.

Опубликовано: 2022-03-18Изменено: 2025-11-03

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

Закрытые ошибки (2)

Ошибка #39989

Миграция на /run и /run/lock

Ошибка #42217

Обновление пакета openvpn в ветке p9

Закрытые проблемы (6)

Уязвимость библиотеки OpenSSL программного обеспечения OpenVPN, позволяющая нарушителю выполнить произвольный код

OpenVPN 2.5.1 and earlier versions allows a remote attackers to bypass authentication and access control channel data on servers configured with deferred authentication, which can be used to potentially trigger further information leaks.

OpenVPN before version 2.5.3 on Windows allows local users to load arbitrary dynamic loadable libraries via an OpenSSL configuration file if present, which allows the user to run arbitrary code with the same privilege level as the main OpenVPN process (openvpn.exe).

OpenVPN 2.1 until v2.4.12 and v2.5.6 may enable authentication bypass in external authentication plug-ins when more than one of them makes use of deferred authentication replies, which allows an external user to be granted access with only partially correct credentials.

Закрытые ошибки (2)

Миграция на /run и /run/lock

обновление до версии 2.5.6