PT-2024-5800 · Openvpn+7 · Openvpn+7

Reynir Björnsson

·

Publicado

2024-06-25

·

Atualizado

2024-11-01

·

CVE-2024-28882

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
Nome do software vulnerável e versões afetadas
Versões 2.6.0 a 2.6.10 do OpenVPN
Descrição
O problema está relacionado ao tratamento, pelo OpenVPN, das notificações de saída de clientes autenticados em uma função de servidor. Quando várias notificações de saída são aceitas, isso pode prolongar a validade de uma sessão em encerramento. Isso pode permitir que um invasor mantenha uma sessão ativa mesmo após o servidor ter recebido a instrução de desconectar o cliente. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.
Recomendações
Para as versões 2.6.0 a 2.6.10 do OpenVPN, considere desativar a aceitação de múltiplas notificações de saída de clientes autenticados como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à função de servidor para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Missing Release of Resource after Effective Lifetime

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-772

Identificadores relacionados

ALT-PU-2024-10642
ALT-PU-2024-10859
ALT-PU-2024-10885
BDU:2024-06537
CVE-2024-28882
OESA-2024-1840
OPENSUSE-SU-2024:14436-1
OPENSUSE-SU-2024_3502-1
SUSE-SU-2024:3502-1
SUSE-SU-2024:3532-1
SUSE-SU-2024_3502-1
SUSE-SU-2024_3532-1
USN-6860-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Linuxmint
Openvpn
Red Os
Suse
Ubuntu