「OpenVPN 2.7.5/2.6.21」リリース ─ 複数の脆弱性を修正
use-after-freeや細工された認証トークンによるサーバクラッシュに対応
7月5日 23:10
OpenVPN Technologiesは7月1日(現地時間)、「OpenVPN 2.7.5/2.6.21」をリリースした。
「OpenVPN」は、オープンソースのVPN構築ソフトウェア。OSを問わずSSL/TLSを利用した安全なVPNトンネルが構築できるソフトウェアであり、クライアント・サーバ双方の構成に対応する。
「OpenVPN 2.7.5」および「OpenVPN 2.6.21」は、複数のセキュリティ問題と不具合を修正するパッチリリース。OpenVPN 2.7.5では7件、OpenVPN 2.6.21では6件のCVEに対応している。
「OpenVPN 2.7.5/2.6.21」のハイライトは次の通り。
〇制御チャネルと認証パケットの処理でuse-after-freeが発生する問題を修正(CVE-2026-12996)
〇動的tls-crypt制御チャネルパケットの処理でuse-after-freeが発生する問題を修正(CVE-2026-13117)
〇細工されたauth-tokenによってサーバがクラッシュする問題を修正(CVE-2026-13122)
〇tls-crypt-v2クライアント鍵の処理でメモリリークが発生する問題を修正(CVE-2026-12932)
〇細工されたtls-crypt-v2パケットによるメモリリークを修正(CVE-2026-13698)
〇NTLMv2プロキシ応答の処理で1バイトのバッファオーバーランが発生する問題を修正(CVE-2026-11771)
〇WindowsでOpenVPN接続前のDNS SearchList設定が破損する問題を修正(CVE-2026-13379、2.7.5のみ)
〇DNS設定処理のdouble freeおよびuse-after-freeを修正
〇複数ソケット利用時のイベント処理やport-shareの動作を改善
など。
「OpenVPN」は、Linux、Windows、macOSなどに対応している。「OpenVPN 2.7.5/2.6.21」は、Webサイトから入手できる。
リリースノート(OpenVPN 2.7.5)
リリースノート(OpenVPN 2.6.21)
「OpenVPN」は、オープンソースのVPN構築ソフトウェア。OSを問わずSSL/TLSを利用した安全なVPNトンネルが構築できるソフトウェアであり、クライアント・サーバ双方の構成に対応する。
「OpenVPN 2.7.5」および「OpenVPN 2.6.21」は、複数のセキュリティ問題と不具合を修正するパッチリリース。OpenVPN 2.7.5では7件、OpenVPN 2.6.21では6件のCVEに対応している。
「OpenVPN 2.7.5/2.6.21」のハイライトは次の通り。
〇制御チャネルと認証パケットの処理でuse-after-freeが発生する問題を修正(CVE-2026-12996)
〇動的tls-crypt制御チャネルパケットの処理でuse-after-freeが発生する問題を修正(CVE-2026-13117)
〇細工されたauth-tokenによってサーバがクラッシュする問題を修正(CVE-2026-13122)
〇tls-crypt-v2クライアント鍵の処理でメモリリークが発生する問題を修正(CVE-2026-12932)
〇細工されたtls-crypt-v2パケットによるメモリリークを修正(CVE-2026-13698)
〇NTLMv2プロキシ応答の処理で1バイトのバッファオーバーランが発生する問題を修正(CVE-2026-11771)
〇WindowsでOpenVPN接続前のDNS SearchList設定が破損する問題を修正(CVE-2026-13379、2.7.5のみ)
〇DNS設定処理のdouble freeおよびuse-after-freeを修正
〇複数ソケット利用時のイベント処理やport-shareの動作を改善
など。
「OpenVPN」は、Linux、Windows、macOSなどに対応している。「OpenVPN 2.7.5/2.6.21」は、Webサイトから入手できる。
(川原 龍人/びぎねっと)
[関連リンク]リリースノート(OpenVPN 2.7.5)
リリースノート(OpenVPN 2.6.21)
この記事をシェアしてください
