오픈 소스 VPN은 신버전 2.4.3과 2.3.17을 발표했습니다. CVE 4건의 취약성을 수정하고 있으며 조속한 업데이트를 권장하고 있습니다.
CVE-2017-7520 취약성은 클라이언트가 NTLM v2 인증으로 HTTP 프록시를 사용하고 있는 경우 중간자 공격에 의한 시스템의 충돌이나 스택 메모리 유출이 일어날 수 있는 것입니다.
취약성 CVE-2017-7521은 extract_x509_extension() 처리에서 메모리가 올바르게 개방되지 않은 것에 기인하여 클라이언트 접속시 몇 바이트의 메모리 유출을 발생시킬 수 있는 것으로 최종적으로 서버의 메모리 부족을 야기할 가능성이 있습니다.
취약성 CVE-2017-7522는 리모트로부터 악의 있는 문자열을 포함한 증명서를 송신함으로써 서버를 충돌시킬 가능성이 있는 것이며 2.4 버전 이상만 영향을 받습니다.
또한 이들 3건의 취약성은 NTLM v2 인증으로 HTTP 프록시를 사용하고 있으며 -x509-username-field 옵션, 서버 측에서 -x509-track 옵션을 사용하고 있는 환경에서만 영향을 받는다고 합니다.
취약성 CVE-2017-7508은 부정 IPv6 패킷에 의해 리모트에서 "ASSERT()"가 일어나 정지될 가능성이 있는 것입니다. VPN 터널 내에서 IPv6를 사용하고 부정한 IPv6 패킷을 방화벽에서 차단, -mssfix 옵션을 사용하고 있는 경우에만 이 취약성의 영향을 받게 됩니다.
그 외 CVE 번호가 할당되지 않은 여러 버그 수정도 이루어지고 있습니다.
오픈VPN 공식 사이트 - https://openvpn.net/