Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06604

Опубликовано: 02 июл. 2024
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость программного обеспечения OpenVPN связана с отсутствием неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»

Наименование ПО

Ubuntu
Debian GNU/Linux
РЕД ОС
OpenVPN
Astra Linux Special Edition

Версия ПО

20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
22.04 LTS (Ubuntu)
24.04 LTS (Ubuntu)
от 2.6.0 до 2.6.11 (OpenVPN)
1.8 (Astra Linux Special Edition)
24.10 (Ubuntu)
до 2.5.11 (OpenVPN)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Canonical Ltd. Ubuntu 22.04 LTS
Canonical Ltd. Ubuntu 24.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Canonical Ltd. Ubuntu 24.10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для OpenVPN:
https://github.com/OpenVPN/openvpn/commit/90e7a858e5594d9a019ad2b4ac6154124986291a
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-5594
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-5594
Для ОС Astra Linux:
обновить пакет openvpn до 2.6.3-1+deb12u2+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00113
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-5594

CVSS3: 9.1
ubuntu
5 месяцев назад

OpenVPN before 2.6.11 does not santize PUSH_REPLY messages properly which an attacker controlling the server can use to inject unexpected arbitrary data ending up in client logs.

nvd логотип

CVE-2024-5594

CVSS3: 9.1
nvd
5 месяцев назад

OpenVPN before 2.6.11 does not santize PUSH_REPLY messages properly which an attacker controlling the server can use to inject unexpected arbitrary data ending up in client logs.

debian логотип

CVE-2024-5594

CVSS3: 9.1
debian
5 месяцев назад

OpenVPN before 2.6.11 does not santize PUSH_REPLY messages properly wh ...

suse-cvrf логотип

SUSE-SU-2025:1131-1

suse-cvrf
3 месяца назад

Security update for openvpn

suse-cvrf логотип

SUSE-SU-2025:1053-2

suse-cvrf
3 месяца назад

Security update for openvpn

EPSS

Процентиль: 31%
0.00113
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2