OpenVPN修補DoS攻擊漏洞

開放源碼虛擬私有網路OpenVPN於本周釋出最新的OpenVPN 2.3.6，以修補該產品中的阻斷服務攻擊（denial of service，DoS）漏洞。

OpenVPN表示，此一編號為CVE-2014-8104的漏洞允許具備TLS認證的客戶端傳遞過短的控制通道封包到伺服器，並導致伺服器當機，代表這是個阻斷服務攻擊漏洞。該漏洞是由電腦網路研究人員Dragana Damjanovic所發現，並於11月底轉交給OpenVPN。

此一漏洞影響自2005年以來釋出的所有OpenVPN 2.x版本，也可能會影響更舊的版本。由於只有經由TLS認證的客戶端能夠觸發該漏洞，因此只要客戶端不被惡意程式感染，客戶端憑證與TLS認證仍能對抗該漏洞。值得一提的是，VPN服務供應商最容易受到該漏洞的影響，因為任何人都能取得必要的客戶端憑證與TLS認證金鑰。

迄今尚未傳出任何針對該漏洞的攻擊事件，但OpenVPN仍呼籲用戶儘快升級。此外，採用OpenVPN的Ubuntu與Debian等Linux平台也受到了該漏洞的波及。（編譯/陳曉莉）