OpenVPNの脆弱性（CVE-2014-8104）について

OpenVPNに関連する脆弱性（CVE-2014-8104）についての情報が公開されています。この脆弱性への対応が行われたOpenVPNの新しいバージョン（2.3.6）がリリースされていますので、なるべく早くアップデートするようにしてください。

OpenVPN公式サイトでこの脆弱性に関する情報が掲載されていましたので、日本語訳を掲載します（誤訳がある可能性もありますので、原文もご覧になることをお勧めします）。

---

概要

2014年11月下旬、Dragana Damjanovic によってOpenVPNのサービス拒否攻撃に関連する脆弱性（CVE-2014-8104）の報告がありました。この脆弱性を突くことにより、TLS認証済みのクライアントが小さなコントロールチャンネルパケットを送信することでOpenVPNサーバーをクラッシュさせることが可能になります。この脆弱性は「サービス拒否攻撃」にあたります。

修正されたバージョンであるOpenVPN 2.3.6が2014年12月1日 18:00 UTC にリリースされました。この修正はOpenVPN 2.2ブランチおよびリリース済みのOpenVPN 2.2.3 にもバックポートされています。

影響範囲

この脆弱性は 2005年以降にリリースされたOpenVPN 2.x のすべてのバージョンに影響を与えます（これ以前のバージョンにも影響を与える可能性があります）。なお、この脆弱性の影響を受けるのはサーバー機能のみです。トラフィックの機密性や信ぴょう性には影響を与えません。

OpenVPN Connectクライアント（Android、iOS）で使用されている OpenVPN 3.x コードベースはこの脆弱性はありませんし、サーバー側では使用されていません。

緩和する要素

OpenVPN サーバーの脆弱性を攻撃できるのは TLSで認証されたクライアントだけです。したがって、すべてのOpenVPNクライアントが信頼できるものであれば（流出/悪用されていなければ）、クライアント証明書とTLS-Authによってこの攻撃から防御することができることになります。ユーザー名/パスワードによる認証ではこの攻撃の防御はできません。また、サーバーで --client-cert-not-required を指定すると、攻撃の防御となるクライアント証明書が不要になるため、防御できなくなります。

クライアント証明書やTLS-Authの鍵を誰でも入手できる一部のVPNサービスプロバイダはこの脆弱性の影響を受けます。

OpenVPNの攻撃の実現性

認証されたクライアントによるこの脆弱性への攻撃によって、OpenVPNが簡単にクラッシュさせられることが確認されています。しかし、修正されたバージョン 2.3.6 のリリース以前にこの攻撃が行われたという情報はありません。

修正方法

修正されたバージョンのOpenVPNをインストールしてください。公式リリース版を使用している場合は、OpenVPN 2.3.6 または最新版の Git "master" を使用してください。OSのリポジトリからインストールしている場合は、そのリポジトリから最新版を取得してください。

OpenVPN 2.2ベースのパッケージを使用している場合は、Gitリポジトリのrelease/2.2ブランチにあるバックポートされたパッチを適用してください。

Access Serverへの影響

---

Related Posts

• 
  チュートリアル：iOSでVPN on Demand (VoD) を設定してみよう！ 【Windows編】
• 
  OpenVPN 2.3.1 リリース
• 
  チュートリアル：iOSでVPN on Demand (VoD) を設定してみよう！ 【MacOS編】
• 
  チュートリアル：iOSでVPN on Demand (VoD) を設定してみよう！ 【事前準備編】