Impatto Sistemico

Medio (63.46)

Sintesi

Aggiornamenti di sicurezza sanano una nuova vulnerabilità in OpenVPN, software open-source per la creazione di reti private virtuali (VPN). Tale vulnerabilità interessa le istanze server OpenVPN configurate per utilizzare la funzionalità TLS-crypt-v2: tramite pacchetti opportunamente predisposti inviati durante la fase iniziale di handshake risulterebbe possibile compromettere la disponibilità del servizio.

Tipologia

• Denial of Service

Prodotti e/o versioni affette

OpenVPN

• 2.6.x, dalla versione 2.6.1 alla 2.6.13

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.