Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-14653

Опубликовано: 17 нояб. 2025
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость функции memcmp() программного обеспечения OpenVPN связана с использованием криптографического алгоритма, содержащего дефекты при обработке HMAC-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

АО «ИВК»
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО "НППКТ"

Наименование ПО

АЛЬТ СП 10
Astra Linux Special Edition
OpenVPN
РЕД ОС
ОСОН ОСнова Оnyx

Версия ПО

- (АЛЬТ СП 10)
1.8 (Astra Linux Special Edition)
от 2.6.0 до 2.6.15 включительно (OpenVPN)
от 2.7 alpha1 до 2.7 rc1 включительно (OpenVPN)
8.0 (РЕД ОС)
3.8 (Astra Linux Special Edition)
до 3.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
ООО «Ред Софт» РЕД ОС 8.0
ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8
АО "НППКТ" ОСОН ОСнова Оnyx до 3.1

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/OpenVPN/openvpn/commit/fa6a1824b0f37bff137204156a74ca28cf5b6f83
https://github.com/OpenVPN/openvpn/commit/18c483dd6031d86eb393527855734e8cd62fea19
Для ОС Astra Linux:
обновить пакет openvpn до 2.6.3-1+deb12u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения openvpn до версии 2.6.3-1+deb12u4
Для ОС Astra Linux:
обновить пакет openvpn до 2.6.3-1+deb12u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38
Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti-red-os-8-0/uyazvimost-openvpn-cve-2025-13086-8.0/?sphrase_id=1455097

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 19%
0.00061
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-13086

CVSS3: 7.5
ubuntu
4 месяца назад

Improper validation of source IP addresses in OpenVPN version 2.6.0 through 2.6.15 and 2.7_alpha1 through 2.7_rc1 allows an attacker to open a session from a different IP address which did not initiate the connection resulting in a denial of service for the originating client

redhat логотип

CVE-2025-13086

CVSS3: 6.5
redhat
4 месяца назад

Improper validation of source IP addresses in OpenVPN version 2.6.0 through 2.6.15 and 2.7_alpha1 through 2.7_rc1 allows an attacker to open a session from a different IP address which did not initiate the connection resulting in a denial of service for the originating client

nvd логотип

CVE-2025-13086

CVSS3: 7.5
nvd
4 месяца назад

Improper validation of source IP addresses in OpenVPN version 2.6.0 through 2.6.15 and 2.7_alpha1 through 2.7_rc1 allows an attacker to open a session from a different IP address which did not initiate the connection resulting in a denial of service for the originating client

debian логотип

CVE-2025-13086

CVSS3: 7.5
debian
4 месяца назад

Improper validation of source IP addresses in OpenVPN version 2.6.0 th ...

suse-cvrf логотип

openSUSE-SU-2026:20137-1

suse-cvrf
около 2 месяцев назад

Security update for openvpn

EPSS

Процентиль: 19%
0.00061
Низкий

7.3 High

CVSS3

7.5 High

CVSS2