OpenVPNは22日、オープンソースのVPNソフト「OpenVPN」の新バージョン「2.4.3」と「2.3.17」をリリースした。CVE番号ベースで4件の脆弱性を修正しており、早急なアップデートが推奨されている。

脆弱性「CVE-2017-7520」は、クライアントがNTLM v2認証でHTTPプロキシを使用している場合に、中間者攻撃によりシステムのクラッシュやスタックメモリの漏えいが引き起こされるもの。

脆弱性「CVE-2017-7521」は、「extract_x509_extension()」の処理においてメモリが正しく開放されないことに起因。クライアントからの接続試行のたびに数バイトのメモリリークを発生させられることで、最終的にサーバーのメモリ不足が引き起こされる可能性がある。

脆弱性「CVE-2017-7522」は、リモートから悪意のある文字列を含む証明書を送信することで、サーバーをクラッシュさせられる可能性のあるもの。バージョン「2.4」以降のみが影響を受ける。

なお、これら3件の脆弱性は、NTLM v2認証でHTTPプロキシを使用しており、「--x509-username-field」オプション、さらにサーバー側で「--x509-track」オプションを使用している環境でのみ、影響を受けるという。

脆弱性「CVE-2017-7508」は、不正なIPv6パケットによってリモートから「ASSERT()」が引き起こされ、シャットダウンされる可能性があるもの。VPNトンネル内でIPv6を使用しており、かつ不正なIPv6パケットをファイアウォールでブロックし、「--mssfix」オプションを使用している場合のみ、この脆弱性の影響を受けるという。

このほか、CVE番号が割り当てられていないNullポインタ参照の脆弱性や、いくつかのバグ修正も行われている。