USN-8540-1: Уязвимости в OpenVPN и рекомендации по их устранению
Описание уязвимостей
В OpenVPN обнаружены несколько критических уязвимостей, затрагивающих системы Ubuntu 24.04 LTS и Ubuntu 26.04 LTS. Ниже приведены основные проблемы:
- CVE-2026-11771: 1-байтовый переполнение буфера при обработке ответов NTLMv2 от прокси. Уязвимость позволяет атакующему вызвать отказ в обслуживании или выполнить произвольный код.
- CVE-2026-12932: Неправильная обработка метаданных при извлечении ключей клиента tls-crypt-v2. Уязвимость может позволить атакующему получить конфиденциальную информацию.
- CVE-2026-12996: Использование освобождённой памяти в обработке ack_write_buf. Уязвимость позволяет вызвать сбой OpenVPN или выполнить произвольный код.
- CVE-2026-13117: Использование освобождённой памяти в обработке tls_wrap_reneg. Уязвимость позволяет вызвать сбой OpenVPN или выполнить произвольный код (затрагивает только Ubuntu 24.04 LTS и Ubuntu 26.04 LTS).
- CVE-2026-13122: Неправильная проверка токенов аутентификации при включённой внешней аутентификации. Уязвимость позволяет удалённому атакующему вызвать отказ в обслуживании (затрагивает только Ubuntu 24.04 LTS и Ubuntu 26.04 LTS).
- CVE-2026-13698: Утечка памяти при обработке ключей клиента tls-crypt-v2. Уязвимость позволяет удалённому атакующему с действительным ключом tls-crypt-v2 вызвать чрезмерное потребление ресурсов, что приводит к отказу в обслуживании.
Кто подвержен риску?
Уязвимости затрагивают системы Ubuntu 24.04 LTS и Ubuntu 26.04 LTS с установленным OpenVPN. Пользователи других версий Ubuntu или операционных систем не подвержены риску.
Подготовка к обновлению
Перед обновлением необходимо выполнить несколько шагов для минимизации рисков:
- Создание резервной копии конфигурации OpenVPN: Скопируйте файл конфигурации OpenVPN и связанные с ним ключи в безопасное место. Это поможет восстановить настройки в случае неудачного обновления.
- Проверка текущей версии OpenVPN: Убедитесь, что вы знаете текущую версию OpenVPN, чтобы сравнить её с новой версией после обновления. Для этого выполните команду:
openvpn --version
- Планирование окна обслуживания: Обновление может потребовать перезапуска OpenVPN, что приведёт к временному прерыванию соединения. Уведомите пользователей и планируйте обновление в удобное время.
Обновление OpenVPN
Для устранения уязвимостей необходимо обновить систему до следующих версий пакетов:
openvpn to 2.6.21 and 2.7.5
- Обновление пакетов: Для обновления пакетов выполните следующие команды:
sudo apt update
sudo apt upgrade openvpn
- Перезапуск OpenVPN: После обновления необходимо перезапустить OpenVPN, чтобы применить изменения. Для этого выполните следующую команду:
sudo systemctl restart openvpn
Проверка результата
Для проверки успешного обновления и устранения уязвимостей выполните следующие действия:
- Проверка версии OpenVPN: Убедитесь, что версия OpenVPN обновлена. Для этого выполните команду:
openvpn --version
- Проверка статуса OpenVPN: Убедитесь, что OpenVPN работает корректно, проверив статус сервиса с помощью команды:
sudo systemctl status openvpn
- Проверка логов OpenVPN: Проверьте логи OpenVPN на наличие ошибок с помощью команды:
journalctl -u openvpn --no-pager -n 50
- Тестирование соединения: Убедитесь, что соединение OpenVPN работает корректно. Подключитесь к серверу OpenVPN и проверьте доступность ресурсов.
Дополнительные меры безопасности
Для снижения риска эксплуатации уязвимостей рекомендуется:
- Регулярное обновление системы: Регулярно обновляйте систему и установленные пакеты, чтобы своевременно устранять обнаруженные уязвимости.
- Использование последних версий OpenVPN: Всегда используйте последние версии OpenVPN, так как они содержат исправления безопасности и новые функции.
- Настройка внешней аутентификации: Настройте внешнюю аутентификацию для повышения безопасности. Это поможет предотвратить несанкционированный доступ к системе.
- Мониторинг логов: Регулярно проверяйте логи OpenVPN на наличие подозрительной активности. Это поможет своевременно обнаружить и предотвратить попытки эксплуатации уязвимостей.
Ограничения и типичные ошибки
При обновлении OpenVPN могут возникнуть следующие ограничения и ошибки:
- Несовместимость конфигурации: В некоторых случаях обновление может привести к несовместимости конфигурации. Убедитесь, что ваша конфигурация OpenVPN совместима с новой версией.
- Проблемы с подключением: После обновления могут возникнуть проблемы с подключением. Убедитесь, что все настройки и ключи корректны.
- Ошибки при перезапуске: В некоторых случаях OpenVPN может не перезапуститься корректно. Проверьте логи на наличие ошибок и попробуйте перезапустить сервис снова.
Если возникнут проблемы, обратитесь к документации OpenVPN или сообществу для получения помощи.