PT-2022-2043 · Openvpn+7 · Openvpn+7

David Sommerseth

·

Publicado

2022-03-18

·

Atualizado

2025-10-20

·

CVE-2022-0547

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 2.1 a 2.4.12 do OpenVPN
Versões 2.5.6 e anteriores do OpenVPN
Descrição
O problema está relacionado a uma falha no procedimento de autenticação, que pode ser explorada por um invasor remoto para contornar a autenticação e obter acesso a informações confidenciais. Isso ocorre quando vários plug-ins de autenticação externos utilizam respostas de autenticação diferidas, permitindo que um usuário externo tenha acesso com credenciais apenas parcialmente corretas.
Recomendações
Para as versões 2.1 a 2.4.12 do OpenVPN, atualize para uma versão posterior à 2.4.12 para resolver o problema.
Para as versões 2.5.6 e anteriores do OpenVPN, atualize para uma versão posterior à 2.5.6 para resolver o problema.
Como solução alternativa temporária, considere desativar o uso de vários plug-ins de autenticação externos que utilizam respostas de autenticação diferidas até que um patch esteja disponível.

Correção

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287CWE-305

Identificadores relacionados

ALT-PU-2022-1915
ALT-PU-2022-1936
ALT-PU-2022-2268
ALT-PU-2022-2690
BDU:2022-01642
CVE-2022-0547
DLA-2992-1
DLA-4079-1
MGASA-2022-0123
OESA-2022-1612
OPENSUSE-SU-2022:1029-1
OPENSUSE-SU-2022_1029-1
OPENSUSE-SU-2022_1934-1
OPENSUSE-SU-2024:11968-1
SUSE-SU-2022:1024-1
SUSE-SU-2022:1029-1
SUSE-SU-2022:14937-1
SUSE-SU-2022:1934-1
SUSE-SU-2022_1024-1
SUSE-SU-2022_1029-1
SUSE-SU-2022_14937-1
SUSE-SU-2022_1934-1
USN-5347-1
USN-6850-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Linuxmint
Openvpn
Red Os
Suse
Ubuntu