漏洞信息详情

OpenVPN Connect和Private Tunnel 代码问题漏洞

• CNNVD编号：CNNVD-201407-317
• 危害等级： 高危
  
• CVE编号： CVE-2014-5455
• 漏洞类型： 代码问题
• 发布时间： 2014-07-15
• 威胁类型： 本地
• 更新时间： 2020-06-02
• 厂        商： openvpn
• 漏洞来源： Gjoko Krstic

漏洞简介

OpenVPN Connect和Private Tunnel都是美国OpenVPN公司的产品。OpenVPN Connect是一款VPN（虚拟私人网络）客户端应用程序。Private Tunnel是一款VPN应用程序。

OpenVPN Connect 3.1之前版本（基于Windows平台）和Private Tunnel 3.0之前版本（基于Windows平台）中的ptservice服务中存在Windows搜索路径漏洞。本地攻击者可通过‘＼\\%SYSTEMDRIVE＼\\%’文件中特制的program.exe文件利用该漏洞获取权限。

漏洞公告

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

http://www.openvpn.net/

参考网址

来源:OSVDB

链接:http://osvdb.org/show/osvdb/109007

来源:EXPLOIT-DB

链接:http://www.exploit-db.com/exploits/34037

来源:MISC

链接:https://github.com/CVEProject/cvelist/pull/3909

来源:MISC

链接:https://github.com/CVEProject/cvelist/pull/3909/commits/ace34f1cf94602f31760d3eb7ae68e17df8f914d

来源:MISC

链接:https://packetstormsecurity.com/files/127439/OpenVPN-Private-Tunnel-Privilege-Escalation.HTML

来源:HP

链接:https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05325943

来源:MISC

链接:http://www.zeroscience.mk/en/vulnerabilities/ZSL-2014-5192.php

受影响实体

• Openvpn Openvpn:2.1.28.0  

补丁

暂无