Proveedores de VPN instan a actualizar OpenVPN debido al bug crítico DoS

El Proyecto OpenVPN ha publicado una nueva versión de su software de código abierto popular del mismo nombre y está instando a los usuarios a ponerlo en práctica, ya que resuelve una negación crítica de vulnerabilidad de la seguridad de servicio (CVE-2014-8104).

«La vulnerabilidad permite a un tls cliente -authenticated se bloquee el servidor mediante el envío de una muy corta paquete de canal de control al servidor «, se explica en un aviso de seguridad . Los desarrolladores no son conscientes de este error de haber sido explotado en la naturaleza antes de la versión fija (2.3.6) fue puesto en libertad.

La falla permite que sólo la denegación de servicio, no la ejecución remota de código o la divulgación de información. «Esta vulnerabilidad afecta a todos OpenVPN 2. x versiones liberadas desde 2005. También es posible que las versiones aún más antiguas se ven afectados «, ha señalado. «Sin embargo, sólo la disponibilidad del servidor se ve afectado.

La confidencialidad y autenticidad de tráfico no se ven afectados.» «En particular, los proveedores de servicios de VPN se ven afectados, ya que cualquiera puede tener en sus manos los certificados de cliente necesarios y las claves de autenticación TLS», señalaron los desarrolladores. Acceso Server versiones anteriores a 2.0.11 también son vulnerables, por lo que se aconseja a los usuarios a actualizar tan pronto como sea posible. El código base 3.x OpenVPN utilizado en la mayoría de los clientes OpenVPN Connect (Android, iOS) no es vulnerable. La vulnerabilidad fue reportada a OpenVPN por el investigador Dragana Damjanovic a finales de noviembre.