В обслуживании в OpenVPN обнаружена уязвимость отказа

В OpenVPN < 2.3.6 найдейна уязвимость, которая позволяет доверенным клиентам выполнить атаку отказа в обслуживании и удаленно уронить VPN-сервер. Суть уязвимости в некорректном использовании assert(): сервер производит проверку минимального размера control-пакета от пользователя именно такой функцией, вследствие чего, сервер аварийно завершится, если получит от пользователя control-пакет длиной менее 4 байт.

Обращаем внимание, что для выполнения атаки достаточно установить коммуникацию через control channel, т.е. в случае с TLS, сам TLS-обмен. VPN-провайдеры, выполняющие авторизацию с использованием логина/пароля и общего TLS-ключа, подвержены уязвимости еще до этапа проверки логина и пароля. Уязвимость имеется во всех версиях OpenVPN второй ветки, т.е. начиная, как минимум, с 2005 года. Ветка OpenVPN 3, на которой размещены мобильные пользователи, не подвержена данной уязвимости.

Либо же вы накладываете патч на вашу версию OpenVPN, либо же вам необходимо обновиться до версии 2.3.6.

Уязвимости присвоен CVE-номер CVE-2014-8104.