漏洞信息详情

OpenVPN 客户端 远程代码执行漏洞

• CNNVD编号：CNNVD-200808-047
• 危害等级： 中危
  
• CVE编号： CVE-2008-3459
• 漏洞类型： 配置错误
• 发布时间： 2008-08-04
• 威胁类型： 远程
• 更新时间： 2008-09-11
• 厂        商： openvpn
• 漏洞来源： David Wagner

漏洞简介

OpenVPN是美国OpenVPN公司的一个用于创建虚拟专用网络（VPN）加密通道的软件包，它使用OpenSSL库来加密数据与控制信息，并允许创建的VPN使用公开密钥、电子证书或者用户名/密码来进行身份验证。

OpenVPN 2.1-beta14至2.1-rc8版本中存在未知安全问题，导致出现远程代码执行漏洞。当运行于Windows平台时，远程服务端可通过构造特殊的lladr及iproute配置指令，执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http://openvpn.net/index.php/open-source/downloads.HTML

参考网址

来源: XF

名称: openvpn-lladdr-iproute-code-execution(44209)

链接:http://xforce.iss.net/xforce/xfdb/44209

来源: SECTRACK

名称: 1020626

链接:http://www.securitytracker.com/id?1020626

来源: BID

名称: 30532

链接:http://www.securityfocus.com/bid/30532

来源: VUPEN

名称: ADV-2008-2316

链接:http://www.frsirt.com/english/advisories/2008/2316

来源: openvpn.net

链接:http://openvpn.net/index.php/documentation/change-log/changelog-21.HTML

受影响实体

• Openvpn Openvpn:2.1:Rc_8  
• Openvpn Openvpn:2.1:Rc_7  
• Openvpn Openvpn:2.1:Rc_5  
• Openvpn Openvpn:2.1:Rc_6  
• Openvpn Openvpn:2.1:Rc_4  

补丁

暂无