お世話になっております。
vpnux Client 3.1 における OpenVPN の脆弱性対応について質問させていただきます。
2024年 8月に、下記サイト記事のように OpenVPN に関連する脆弱性が発見されております。
OpenVPNに発見された複数の脆弱性の情報公開、Microsoft
- CVE-2024-27459
- CVE-2024-24974
- CVE-2024-27903
- CVE-2024-1305
このうち CVE-2024-1305 は Windows の TAP ドライバーに関するものであり、これらの脆弱性は既にリリース済みの
OpenVPN 2.6.10 および 2.5.10 で対応されているとのことで、vpnux Client 3.1 では OpenVPN 2.6.4 が使用されていることから、影響を受けると理解しております。
しかし OpenVPN 2.6.12 等を単体でインストールしても、バージョン情報では 2.6.4 のまま変化しませんので、OpenVPN 2.6.12 のインストールフォルダー直下 "bin" 内の下記ファイルで vpnux Client インストールフォルダー内に上書きコピーするとことで、vpnux Client のバージョン情報の OpenVPN のバージョンが 2.6.12 に変化することを確認しました。
- libcrypto-3-x64.dll
- libopenvpn_plap.dll
- libpkcs11-helper-1.dll
- libssl-3-x64.dll
- openvpn.exe
- tapctl.exe
- vcruntime140.dll
上記作業を行った状態で既存のプロファイルを使用した
VPN 接続は正常に行えているように見えますが、この方法は今回の脆弱性対応としては問題ありませんでしょうか?
またもし vpnux Client 側で同梱の OpenVPN をアップデートしたバージョンをリリースされる予定がおありでしたら、併せてお教えください。
よろしくお願い致します。