В OpenVPN пропатчена критическая уязвимость, грозящая DoS-атакой на сервер

Татьяна Никитина 02 Декабря 2025 - 15:04

...

В OpenVPN пропатчена критическая уязвимость, грозящая DoS-атакой на сервер

Релиз OpenVPN 2.7_rc2 содержит патчи для двух уязвимостей, позволяющих удаленно вызвать на сервере состояние отказа в обслуживании (DoS). Одна из проблем оценена в 9,1 балла по шкале CVSS — как критическая.

Названный проект с открытым исходным кодом широко используется, в том числе в промышленности, поэтому такие угрозы со стороны OpenVPN всегда масштабны и могут повлечь массовые атаки.

Критическая уязвимость CVE-2025-12106 классифицируется как чтение за границами выделенного в памяти буфера. Она проявляется при парсинге адресов IPv6 и вызвана некорректной реализацией проверки аргументов в запросах.

Проблема актуальна для сборок OpenVPN с 2.7_alpha1 по 2.7_rc1 и устранена с выпуском 2.7_rc2 в конце прошлого месяца.

Уязвимость CVE-2025-13086 менее опасна. Она связана с ошибкой в логике защитного механизма HMAC. Из-за неадекватной проверки источника входящих сообщений сервер принимает все куки HMAC; в результате открытые TLS-сессии подвисают, что может привести к истощению ресурсов на сервере.

Эксплойт в данном случае требует наличия действительного клиентского ключа у автора атаки либо возможности мониторинга и изменения handshake-трафика. Проблеме подвержены не только экспериментальные сборки OpenVPN, но также все выпуски в стабильной ветке 2.6.x.

Патч включен в состав обновления 2.7_rc2, а также в 2.6.16. Исходники и инсталляторы для Windows можно скачать на странице загрузок в сообществе. Пакеты для Debian, Ubuntu, Fedora, RHEL и openSUSE доступны в официальных репозиториях комьюнити.

Из-за обширности площади атаки степень опасности уязвимостей в OpenVPN после тщательного анализа может быть повышена — как это, к примеру, случилось с CVE-2024-5594.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Апреля 2026 - 10:46

Уязвимости программ Общее Защита персональных данных

Дуров сетует: приложение ЕС для проверки возраста взломали за две минуты

Сооснователь Telegram Павел Дуров резко раскритиковал новое европейское приложение для проверки возраста пользователей. По его словам, решение, представленное Еврокомиссией как приватный и безопасный инструмент, якобы удалось взломать всего за две минуты.

Дуров ссылается на публикацию Cybernews, однако саму историю он подал довольно жёстко: такой сценарий может со временем превратить систему проверки возраста в более жёсткий механизм цифрового контроля.

Поводом для спора стал свежий анонс Еврокомиссии. 15 апреля она объявила, что европейское приложение для проверки возраста технически готово и вскоре станет доступно гражданам.

В Брюсселе подают этот инструмент как способ защитить детей в интернете и при этом не заставлять платформы собирать лишние персональные данные. Еврокомиссия отдельно подчёркивает, что решение должно помогать подтверждать возраст с сохранением конфиденциальности пользователя.

Дуров, впрочем, увидел в этой истории совсем другую логику. В своём телеграм-канале он написал, что сначала пользователям показывают приложение, которое якобы уважает приватность, затем оно быстро компрометируется, а после этого появляется предлог ослабить конфиденциальность ради «исправления» проблемы. В его трактовке это может привести к созданию инструмента слежки за пользователями соцсетей в странах ЕС.

Сама идея проверки возраста сейчас становится для ЕС всё более важной. Еврокомиссия продвигает её как часть более широкой политики по защите несовершеннолетних в интернете, особенно на платформах с потенциально опасным или взрослым контентом.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!