OpenVPNに「緊急」の脆弱性 急ぎ修正済みバージョンへの更新を：セキュリティニュースアラート

NISTからOpenVPNの脆弱性「CVE-2024-5594」のデータが公開された。CVSSスコアは9.1で深刻度「緊急」（Critical）と評価されている。修正済みバージョンへのアップデートが求められる。

[後藤大地，有限会社オングス]

　米国国立標準技術研究所（NIST）は2025年1月6日（現地時間、以下同）、同組織が管理している脆弱（ぜいじゃく）性情報データベース（NVD）に「OpenVPN」の脆弱性「CVE-2024-5594」に関する情報を登録した。

　該当バージョンにはPUSH_REPLYメッセージのサニタイズが適切に実施されていない問題があるとされており、脆弱性が悪用された場合、サイバー攻撃者によって予期しない任意のデータをサードパーティーの実行ファイルやプラグインに注入される可能性がある。

OpenVPNに「緊急」の脆弱性　該当バージョンは？

　脆弱性が存在するバージョンは以下の通りだ。

• OpenVPN 2.6.11以前のバージョン

　OpenVPN 2.6.11は2024年6月21日に既に公開されており、その段階で「CVE-2024-5594」が修正されていることについても説明されている。

　OpenVPN 2.6.11の公開時には「CVE-2024-4877」「CVE-2024-5594」「CVE-2024-28882」などの3つの脆弱性が修正されている点については言及されていたが、それぞれの脆弱性の深刻度については明らかにされていなかった。

　「CVE-2024-28882」については2024年7月8日の段階で情報が公開されたが、深刻度は共通脆弱性評価システム（CVSS） 3.xのスコア値で4.3とされており警告にとどまっている。一方で2025年1月6日に公開された情報によって「CVE-2024-5594」がCVSS 3.xのスコア値9.1で、深刻度「緊急」（Critical）と分析されていることが明らかになった。

　該当バージョンを使用している場合、迅速にアップデートをすることが望まれている。