Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/09/10

Garrantzia: Handia

Kaltetutako baliabideak:

• VPN NordVPN 6.14.28.0ren bezeroa

Azalpena:

NordVPN 6.14.28.0ren VPN bezeroaren konexio funtzionaltasunean balia daitekeen kodearen exekuzioko ahultasuna dago. Bereziki diseinatutako OpenVPN konfigurazio fitxategi batek pribilegioen eskalatzea eragin lezake, eta horrek komando arbitrarioen exekuzioa ahalbidetu lezake sistemaren pribilegioekin.

Konponbidea:

Abuztuaren 8ko VPN bezeroaren eguneraketan partxe bat barneratu da. Bezeroei aholkatzen zaie VPNa oraingo bertsiora eguneratzea.

Xehetasuna:

Cisco Taloseko Paul Rascagneres ikertzaileak aurkitu duenez, OpenVPNren konfigurazio fitxategia aldatzen bada eta up parametroa gehitzen bada eta ondoren edozein programaren exekuzio-bidea ere, programa sistemaren pribilegioekin exekutatuko da. Ahultasun horretarako CVE-2018-3952 identifikatzailea erreserbatu da.