DebianDSA-3900-1：openvpn - セキュリティ更新

high Nessus プラグイン ID 101067

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

仮想プライベートネットワークアプリケーションであるopenvpnで、複数の問題が発見されました。

- CVE-2017-7479openvpnがパケット識別子のロールオーバーを不適切に処理することが判明しました。これにより、認証されたリモート攻撃者が、アプリケーションをクラッシュさせてサービス拒否を引き起こす可能性があります。

- CVE-2017-7508Guido Vranken氏は、openvpnが不正な形式のIPv6パケットを不適切に処理することを発見しました。これにより、リモート攻撃者が、アプリケーションをクラッシュさせてサービス拒否を引き起こす可能性があります。

- CVE-2017-7520Guido Vranken氏は、openvpnがNTLMv2認証を使用してHTTPプロキシに接続するクライアントを不適切に処理することを発見しました。これにより、リモート攻撃者が、アプリケーションをクラッシュさせてサービス拒否を引き起こしたり、ユーザーのプロキシパスワードなどの機密情報を漏洩する可能性があります。

- CVE-2017-7521Guido Vranken氏は、openvpnが一部のx509拡張機能を不適切に処理することを発見しました。これにより、リモート攻撃者が、アプリケーションをクラッシュさせてサービス拒否を引き起こす可能性があります。

ソリューション

openvpnパッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（jessie）では、これらの問題はバージョン2.3.4-5+deb8u2で修正されています。

安定版（stable）ディストリビューション（stretch）では、これらの問題はバージョン2.4.0-6+deb9u1で修正されています。