Релиз OpenVPN 2.7_rc2 содержит патчи для двух уязвимостей, позволяющих удаленно вызвать на сервере состояние отказа в обслуживании (DoS). Одна из проблем оценена в 9,1 балла по шкале CVSS — как критическая.
Названный проект с открытым исходным кодом широко используется, в том числе в промышленности, поэтому такие угрозы со стороны OpenVPN всегда масштабны и могут повлечь массовые атаки.
Критическая уязвимость CVE-2025-12106 классифицируется как чтение за границами выделенного в памяти буфера. Она проявляется при парсинге адресов IPv6 и вызвана некорректной реализацией проверки аргументов в запросах.
Проблема актуальна для сборок OpenVPN с 2.7_alpha1 по 2.7_rc1 и устранена с выпуском 2.7_rc2 в конце прошлого месяца.
Уязвимость CVE-2025-13086 менее опасна. Она связана с ошибкой в логике защитного механизма HMAC. Из-за неадекватной проверки источника входящих сообщений сервер принимает все куки HMAC; в результате открытые TLS-сессии подвисают, что может привести к истощению ресурсов на сервере.
Эксплойт в данном случае требует наличия действительного клиентского ключа у автора атаки либо возможности мониторинга и изменения handshake-трафика. Проблеме подвержены не только экспериментальные сборки OpenVPN, но также все выпуски в стабильной ветке 2.6.x.
Патч включен в состав обновления 2.7_rc2, а также в 2.6.16. Исходники и инсталляторы для Windows можно скачать на странице загрузок в сообществе. Пакеты для Debian, Ubuntu, Fedora, RHEL и openSUSE доступны в официальных репозиториях комьюнити.
Из-за обширности площади атаки степень опасности уязвимостей в OpenVPN после тщательного анализа может быть повышена — как это, к примеру, случилось с CVE-2024-5594.
