vpnux Client 3.1 における OpenVPN の脆弱性対応方法について

84 views
Skip to first unread message

YNMO

unread,
Aug 25, 2024, 4:34:41 PM8/25/24
to OpenVPN Japan Users Group
お世話になっております。
vpnux Client 3.1 における OpenVPN の脆弱性対応について質問させていただきます。

2024年 8月に、下記サイト記事のように OpenVPN に関連する脆弱性が発見されております。

OpenVPNに発見された複数の脆弱性の情報公開、Microsoft
  • CVE-2024-27459
  • CVE-2024-24974
  • CVE-2024-27903
  • CVE-2024-1305
このうち CVE-2024-1305 は Windows の TAP ドライバーに関するものであり、これらの脆弱性は既にリリース済みの OpenVPN 2.6.10 および 2.5.10 で対応されているとのことで、vpnux Client 3.1 では OpenVPN 2.6.4 が使用されていることから、影響を受けると理解しております。

しかし OpenVPN 2.6.12 等を単体でインストールしても、バージョン情報では 2.6.4 のまま変化しませんので、OpenVPN 2.6.12 のインストールフォルダー直下 "bin" 内の下記ファイルで vpnux Client インストールフォルダー内に上書きコピーするとことで、vpnux Client のバージョン情報の OpenVPN のバージョンが 2.6.12 に変化することを確認しました。

  • libcrypto-3-x64.dll
  • libopenvpn_plap.dll
  • libpkcs11-helper-1.dll
  • libssl-3-x64.dll
  • openvpn.exe
  • tapctl.exe
  • vcruntime140.dll
上記作業を行った状態で既存のプロファイルを使用した VPN 接続は正常に行えているように見えますが、この方法は今回の脆弱性対応としては問題ありませんでしょうか?

またもし vpnux Client 側で同梱の OpenVPN をアップデートしたバージョンをリリースされる予定がおありでしたら、併せてお教えください。

よろしくお願い致します。

Taro Yamazaki

unread,
Aug 26, 2024, 2:17:22 AM8/26/24
to openvpn-japa...@googlegroups.com

こんにちは、やまざきです。

サポート対象外とはなりますが、ご提示の方法でvpnux Clientと連携するOpenVPN本体の差し替えが可能です。
TAPドライバも関わりますので、脆弱性対応としては上記の入れ替えに加えて、最新版のOpenVPNのインストールの両方が必要、となります。

本件はニュースとしても取り上げられましたが、攻撃するためのハードルは低くありません。
公式見解についてはこちらも参考にしてください。
https://openvpn.net/security-advisories/

OpenVPNのバージョンアップ、他の機能向上も含めた、vpnux Clientのアップデートも予定しています。
リリース時は公式サイトでお知らせいたします。
--
このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには openvpn-japan-user...@googlegroups.com にメールを送信してください。
このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/openvpn-japan-users-group/618b5d14-f078-4e96-8026-fd1815a3c37bn%40googlegroups.com にアクセスしてください。

Message has been deleted
Message has been deleted

YNMO

unread,
Aug 27, 2024, 7:49:38 PM8/27/24
to OpenVPN Japan Users Group
やまざき 様


ご返信ありがとうございます。
OpenVPN 公式見解と併せ、内容承知致しました。

vpnux Client が利用する OpenVPN 更新は、エンジニアではない利用者に対応してもらうには難易度が高い方法ですので、今回は更新方法を提示しつつ、「気になる人はどうぞ」程度にしておこうと思います。

ありがとうございました。

2024年8月26日月曜日 15:17:22 UTC+9 ta...@plum-systems.co.jp:

YNMO

unread,
Aug 27, 2024, 7:50:33 PM8/27/24
to OpenVPN Japan Users Group
昨日(8/26 16:52)返信致しましたが、該当メッセージは「メッセージは削除されました」となっています。
こちらで誤って削除してしまったかもしれないため、改めてお送り致します。

=== 以下本文 ===

やまざき 様


ご返信ありがとうございます。
OpenVPN 公式見解と併せ、内容承知致しました。

vpnux Client が利用する OpenVPN 更新は、エンジニアではない利用者に対応してもらうには難易度が高い方法ですので、今回は更新方法を提示しつつ、「気になる人はどうぞ」程度にしておこうと思います。

ありがとうございました。

2024年8月26日月曜日 15:17:22 UTC+9 ta...@plum-systems.co.jp:
Reply all
Reply to author
Forward
0 new messages