漏洞信息详情
OpenVPN Connect和Private Tunnel 代码问题漏洞
- CNNVD编号:CNNVD-201407-317
- 危害等级: 高危
- CVE编号: CVE-2014-5455
- 漏洞类型: 代码问题
- 发布时间: 2014-07-15
- 威胁类型: 本地
- 更新时间: 2020-06-02
- 厂 商: openvpn
- 漏洞来源: Gjoko Krstic
漏洞简介
OpenVPN Connect和Private Tunnel都是美国OpenVPN公司的产品。OpenVPN Connect是一款VPN(虚拟私人网络)客户端应用程序。Private Tunnel是一款VPN应用程序。
OpenVPN Connect 3.1之前版本(基于Windows平台)和Private Tunnel 3.0之前版本(基于Windows平台)中的ptservice服务中存在Windows搜索路径漏洞。本地攻击者可通过‘\\\%SYSTEMDRIVE\\\%’文件中特制的program.exe文件利用该漏洞获取权限。
漏洞公告
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
http://www.openvpn.net/
参考网址
来源:OSVDB
链接:http://osvdb.org/show/osvdb/109007
来源:EXPLOIT-DB
链接:http://www.exploit-db.com/exploits/34037
来源:MISC
链接:https://github.com/CVEProject/cvelist/pull/3909
来源:MISC
链接:https://github.com/CVEProject/cvelist/pull/3909/commits/ace34f1cf94602f31760d3eb7ae68e17df8f914d
来源:MISC
链接:https://packetstormsecurity.com/files/127439/OpenVPN-Private-Tunnel-Privilege-Escalation.HTML
来源:HP
链接:https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05325943
来源:MISC
链接:http://www.zeroscience.mk/en/vulnerabilities/ZSL-2014-5192.php
受影响实体
- Openvpn Openvpn:2.1.28.0
补丁
暂无
评论