После закрытия уязвимости CVE-2014-8104 вышли новые версии OpenVPN 2.3.6, 2.2.3 и 2.0.11, которые в обязательном порядке следует установить всем администраторам серверов.
Уязвимость CVE-2014-8104 допускает осуществление атак типа «отказ в обслуживании (DoS) и затрагивает все версии OpenVPN 2.х, выпущенные с 2005 года. Есть вероятность, что и более ранние версии тоже затронуты.
Баг позволяет клиенту, подключённому по защищённому соединению TLS, повалить сервер с помощью отправки слишком короткого пакета с типом P_CONTROL_V1
. Других полномочий у злоумышленника нет, так что его возможности ограничиваются только DoS-атакой. Тем не менее, провести атаку очень легко после аутентификации по TLS, так что уязвимость можно считать достаточно серьёзной.
Наиболее подвержены опасности VPN-серверы, к которым каждый может подключиться по защищённому каналу и осуществить злонамеренные действия.
Версии OpenVPN 3.x, которые используются в большинстве клиентов на мобильных приложениях под iOS и Android, не подвержены уязвимости.
Кроме закрытия CVE-2014-8104, в новых версиях OpenVPN сделаны и другие изменения, в том числе добавлена клиентская поддержка peer-id и исправлены более мелкие ошибки.