WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Lỗ hổng leo thang đặc quyền nghiêm trọng trong OpenVPN - CVE-2023-7235
OpenVPN vừa phát hành phiên bản 2.6.9 cho Windows, Mac và Linux để xử lý lỗ hổng leo thang đặc quyền nghiêm trọng trong hệ thống mạng riêng ảo (VPN) của mình.
Lỗ hổng có mã định danh CVE-2023-7235, chưa có điểm CVSS ảnh hưởng đến bản cài đặt của OpenVPN trên Windows. Lỗ hổng do nhà nghiên cứu Will Dormann phát hiện và báo cáo.
Các bản cài đặt OpenVPN GUI (giao diện đồ họa người dùng) phiên bản trước 2.6.9 không thiết lập các giới hạn quyền chính xác đối với thư mục cài đặt của OpenVPN khi sử dụng các đường dẫn cài đặt không chuẩn. Điều này cho phép kẻ tấn công thay thế thành phần dịch vụ của OpenVPN bằng mã độc hại để chiếm quyền kiểm soát máy chủ trong lần kế tiếp khi tiến trình dịch vụ OpenVPN được khởi động lại.
Do mức độ nghiêm trọng của lỗ hổng, người dùng được khuyến cáo cần tải và cài đặt phiên bản OpenVPN 2.6.9 ngay khi có thể. Phiên bản này ngoài xử lý CVE-2023-7235 còn bổ sung thêm một số tính năng mới và thay đổi hiển thị đối với người dùng.
Theo OpenVPN
Lỗ hổng có mã định danh CVE-2023-7235, chưa có điểm CVSS ảnh hưởng đến bản cài đặt của OpenVPN trên Windows. Lỗ hổng do nhà nghiên cứu Will Dormann phát hiện và báo cáo.
Các bản cài đặt OpenVPN GUI (giao diện đồ họa người dùng) phiên bản trước 2.6.9 không thiết lập các giới hạn quyền chính xác đối với thư mục cài đặt của OpenVPN khi sử dụng các đường dẫn cài đặt không chuẩn. Điều này cho phép kẻ tấn công thay thế thành phần dịch vụ của OpenVPN bằng mã độc hại để chiếm quyền kiểm soát máy chủ trong lần kế tiếp khi tiến trình dịch vụ OpenVPN được khởi động lại.
Do mức độ nghiêm trọng của lỗ hổng, người dùng được khuyến cáo cần tải và cài đặt phiên bản OpenVPN 2.6.9 ngay khi có thể. Phiên bản này ngoài xử lý CVE-2023-7235 còn bổ sung thêm một số tính năng mới và thay đổi hiển thị đối với người dùng.
Theo OpenVPN