2025年4月、OpenVPNは、サーバーをクラッシュさせる恐れのある重大な脆弱性(CVE-2025-2704)に対応するセキュリティアップデートを公開しました。対象者はアップデートする事をお勧めします。
脆弱性の対象バージョン
2.6.1 から 2.6.13 かつ、 –tls-crypt-v2 オプションを有効にしている場合
この脆弱性はOpenVPN クライアントや OpenVPN 2.4 または 2.5 サーバー、あるいは –tls-crypt-v2 なしで実行されている 2.6 サーバーには影響しません。
脆弱性の対策バージョン
2.6.14 以上
アップデートできない場合は、 –tls-crypt-v2 オプションを一時的に無効にする。
脆弱性の概要
–tls-crypt-v2は、TLS制御チャネルのパケットを暗号化・認証するために使用されるオプションであり、プライバシー強化やDPI(Deep Packet Inspection)回避の手段として多くの環境で利用されています。
条件を満たすサイバー攻撃者が、正規のパケットと不正なパケットを特定の順序で送信することで、サーバー内部のクライアント状態が破損し、ASSERT文(自己検証機構)が発動してプロセスが異常終了します。
ただし、OpenVPNのセキュリティアドバイザリによれば、暗号強度やデータの機密性には影響はなく、情報漏えいやリモートコード実行は発生しません。
関連記事
DigiCertがバグにより顧客のSSL/TLS 証明書を大量失効させる
ユーチューバーへ偽の著作権侵害の警告を行い、マルウェアの拡散を脅迫
サイバー攻撃者が偽のDeepSeek ダウンロードサイトを利用しマルウェアを拡散
Java ライブラリの脆弱性でパストラバーサル攻撃が可能に(CVE-2025-0851)
アメリカ政府がテンセントを中国の軍事指定企業として登録
パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告
Vimのtar.vimプラグインにリスクの高い脆弱性(CVE-2025-27423)
React Routerの脆弱性がキャッシュポイズニングやWAFバイパス攻撃に悪用される危険性(CVE-2025-31137)
WordPressのプラグイン「Uncanny Automator」に深刻な権限昇格の脆弱性(CVE-2025-2075)【注意喚起】