Системный журнал — практичная база знаний по VPS и Linux
Системный журнал Системный журнал
CVE • OpenVPN • Ubuntu • Безопасность • уязвимости

USN-8540-1: Уязвимости в OpenVPN и рекомендации по их устранению

4 мин чтения

Описание уязвимостей

В OpenVPN обнаружены несколько критических уязвимостей, затрагивающих системы Ubuntu 24.04 LTS и Ubuntu 26.04 LTS. Ниже приведены основные проблемы:

  • CVE-2026-11771: 1-байтовый переполнение буфера при обработке ответов NTLMv2 от прокси. Уязвимость позволяет атакующему вызвать отказ в обслуживании или выполнить произвольный код.
  • CVE-2026-12932: Неправильная обработка метаданных при извлечении ключей клиента tls-crypt-v2. Уязвимость может позволить атакующему получить конфиденциальную информацию.
  • CVE-2026-12996: Использование освобождённой памяти в обработке ack_write_buf. Уязвимость позволяет вызвать сбой OpenVPN или выполнить произвольный код.
  • CVE-2026-13117: Использование освобождённой памяти в обработке tls_wrap_reneg. Уязвимость позволяет вызвать сбой OpenVPN или выполнить произвольный код (затрагивает только Ubuntu 24.04 LTS и Ubuntu 26.04 LTS).
  • CVE-2026-13122: Неправильная проверка токенов аутентификации при включённой внешней аутентификации. Уязвимость позволяет удалённому атакующему вызвать отказ в обслуживании (затрагивает только Ubuntu 24.04 LTS и Ubuntu 26.04 LTS).
  • CVE-2026-13698: Утечка памяти при обработке ключей клиента tls-crypt-v2. Уязвимость позволяет удалённому атакующему с действительным ключом tls-crypt-v2 вызвать чрезмерное потребление ресурсов, что приводит к отказу в обслуживании.

Кто подвержен риску?

Уязвимости затрагивают системы Ubuntu 24.04 LTS и Ubuntu 26.04 LTS с установленным OpenVPN. Пользователи других версий Ubuntu или операционных систем не подвержены риску.

Подготовка к обновлению

Перед обновлением необходимо выполнить несколько шагов для минимизации рисков:

  • Создание резервной копии конфигурации OpenVPN: Скопируйте файл конфигурации OpenVPN и связанные с ним ключи в безопасное место. Это поможет восстановить настройки в случае неудачного обновления.
  • Проверка текущей версии OpenVPN: Убедитесь, что вы знаете текущую версию OpenVPN, чтобы сравнить её с новой версией после обновления. Для этого выполните команду:
openvpn --version
  • Планирование окна обслуживания: Обновление может потребовать перезапуска OpenVPN, что приведёт к временному прерыванию соединения. Уведомите пользователей и планируйте обновление в удобное время.

Обновление OpenVPN

Для устранения уязвимостей необходимо обновить систему до следующих версий пакетов:

openvpn to 2.6.21 and 2.7.5
  • Обновление пакетов: Для обновления пакетов выполните следующие команды:
sudo apt update
sudo apt upgrade openvpn
  • Перезапуск OpenVPN: После обновления необходимо перезапустить OpenVPN, чтобы применить изменения. Для этого выполните следующую команду:
sudo systemctl restart openvpn

Проверка результата

Для проверки успешного обновления и устранения уязвимостей выполните следующие действия:

  • Проверка версии OpenVPN: Убедитесь, что версия OpenVPN обновлена. Для этого выполните команду:
openvpn --version
  • Проверка статуса OpenVPN: Убедитесь, что OpenVPN работает корректно, проверив статус сервиса с помощью команды:
sudo systemctl status openvpn
  • Проверка логов OpenVPN: Проверьте логи OpenVPN на наличие ошибок с помощью команды:
journalctl -u openvpn --no-pager -n 50
  • Тестирование соединения: Убедитесь, что соединение OpenVPN работает корректно. Подключитесь к серверу OpenVPN и проверьте доступность ресурсов.

Дополнительные меры безопасности

Для снижения риска эксплуатации уязвимостей рекомендуется:

  • Регулярное обновление системы: Регулярно обновляйте систему и установленные пакеты, чтобы своевременно устранять обнаруженные уязвимости.
  • Использование последних версий OpenVPN: Всегда используйте последние версии OpenVPN, так как они содержат исправления безопасности и новые функции.
  • Настройка внешней аутентификации: Настройте внешнюю аутентификацию для повышения безопасности. Это поможет предотвратить несанкционированный доступ к системе.
  • Мониторинг логов: Регулярно проверяйте логи OpenVPN на наличие подозрительной активности. Это поможет своевременно обнаружить и предотвратить попытки эксплуатации уязвимостей.

Ограничения и типичные ошибки

При обновлении OpenVPN могут возникнуть следующие ограничения и ошибки:

  • Несовместимость конфигурации: В некоторых случаях обновление может привести к несовместимости конфигурации. Убедитесь, что ваша конфигурация OpenVPN совместима с новой версией.
  • Проблемы с подключением: После обновления могут возникнуть проблемы с подключением. Убедитесь, что все настройки и ключи корректны.
  • Ошибки при перезапуске: В некоторых случаях OpenVPN может не перезапуститься корректно. Проверьте логи на наличие ошибок и попробуйте перезапустить сервис снова.

Если возникнут проблемы, обратитесь к документации OpenVPN или сообществу для получения помощи.