OpenVPNに「緊急」の脆弱性 急ぎ修正済みバージョンへの更新を:セキュリティニュースアラート
NISTからOpenVPNの脆弱性「CVE-2024-5594」のデータが公開された。CVSSスコアは9.1で深刻度「緊急」(Critical)と評価されている。修正済みバージョンへのアップデートが求められる。
米国国立標準技術研究所(NIST)は2025年1月6日(現地時間、以下同)、同組織が管理している脆弱(ぜいじゃく)性情報データベース(NVD)に「OpenVPN」の脆弱性「CVE-2024-5594」に関する情報を登録した。
該当バージョンにはPUSH_REPLYメッセージのサニタイズが適切に実施されていない問題があるとされており、脆弱性が悪用された場合、サイバー攻撃者によって予期しない任意のデータをサードパーティーの実行ファイルやプラグインに注入される可能性がある。
OpenVPNに「緊急」の脆弱性 該当バージョンは?
脆弱性が存在するバージョンは以下の通りだ。
- OpenVPN 2.6.11以前のバージョン
OpenVPN 2.6.11は2024年6月21日に既に公開されており、その段階で「CVE-2024-5594」が修正されていることについても説明されている。
OpenVPN 2.6.11の公開時には「CVE-2024-4877」「CVE-2024-5594」「CVE-2024-28882」などの3つの脆弱性が修正されている点については言及されていたが、それぞれの脆弱性の深刻度については明らかにされていなかった。
「CVE-2024-28882」については2024年7月8日の段階で情報が公開されたが、深刻度は共通脆弱性評価システム(CVSS) 3.xのスコア値で4.3とされており警告にとどまっている。一方で2025年1月6日に公開された情報によって「CVE-2024-5594」がCVSS 3.xのスコア値9.1で、深刻度「緊急」(Critical)と分析されていることが明らかになった。
該当バージョンを使用している場合、迅速にアップデートをすることが望まれている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術
2025年が始まりました。相変わらずサイバー攻撃は収まる気配はないので、防御側もしっかりと対策を講じなければなりません。今回は新年1回目ということで、2025年こそ流行ってほしい3つのセキュリティ技術を紹介します。
“ランサムウェア戦国時代”到来? 2つの事件から見る攻撃者ビジネスの変化
RaaSをはじめとしたランサムウェアの高度化は大きな問題だ。2024年にランサムウェアのエコシステムに起きた“象徴的な2つの事件”を取り上げ、攻撃者たちのビジネスモデルや意識がどのように変化したかを解説しよう。
OAuthを悪用した高度な攻撃「同意フィッシング」に注意 SaaS乗っ取りのリスク
正規のOAuthプロバイダーを悪用し、ユーザーに悪意のあるアプリへの権限付与を促す高度なサイバー攻撃「同意フィッシング」が確認された。SaaSの乗っ取りやChrome拡張機能の改ざんなど企業や個人に深刻な被害をもたらす可能性がある。
2024年は大事件続きで世間のセキュリティ意識が変化? 編集部が選ぶ主要トピック
2024年には世間を大きく騒がせたランサムウェア被害やIT障害が発生しました。年の瀬恒例、「ITmedia エンタープライズ」編集部が特に印象的だと感じたセキュリティトピックを振り返ります。