В OpenVPN устранена уязвимость, позволяющая совершать DoS-атаки

В OpenVPN была устранена уязвимость, позволяющая осуществить DoS-атаку (вызвать отказ в обслуживании). Брешь может быть проэксплуатирована аутентифицированными пользователями путем отправки специально сформированных пакетов.

Важно отметить, что уязвимость, получившая идентификатор CVE-2014-8104, подвергает угрозе нападения исключительно провайдеров VPN сервисов. Обнаружить ее удалось исследователю безопасности Драгане Дамджанович (Dragana Damjanovic).

По данным разработчиков, брешь присутствовала в OpenVPN еще с 2005 года. При этом для ее эксплуатации достаточно воспользоваться клиентом, прошедшим аутентификацию TLS, и отправить серверу слишком короткий пакет control channel, что приведет к аварийному завершению работы сервера.

«Другими словами, это уязвимость обычного отказа в обслуживании, - поясняют разработчики. – Тем не менее, нам не встречались случаи ее эксплуатации до выпуска исправления».

Эксперты также подчеркивают, что брешь не может быть использована для нарушения конфиденциальности или подмены трафика. Ознакомиться с подробным описанием уязвимости можно по адресу: securitylab.ru/vulnerability/462596.php