Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/09/10

Garrantzia: Handia

Kaltetutako baliabideak:

• VPN ProtonVPN 1.5.1en bezeroa

Azalpena:

ProtonVPN 6.14.28.0ren VPN bezeroaren konexio funtzionaltasunean balia daitekeen kodearen exekuzioko ahultasuna dago. Bereziki diseinatutako OpenVPN konfigurazio fitxategi batek pribilegioen eskalatzea eragin lezake eta horrek komando arbitrarioen exekuzioa ahalbidetu lezake sistemaren pribilegioekin.

Konponbidea:

Ahultasun hau uztailean eman zuen argitara ekipoak, eta partxea irailaren 3ko eguneraketan sartu da. Bezeroei aholkatzen zaie VPNa oraingo bertsiora eguneratzea.

Xehetasuna:

Cisco Taloseko Paul Rascagneres ikertzaileak aurkitu duenez, OpenVPNren konfigurazio fitxategia aldatzen bada eta up parametroa gehitzen bada eta ondoren edozein programaren exekuzio-bidea ere, programa sistemaren pribilegioekin exekutatuko da. Ahultasun horretarako CVE-2018-4010 identifikatzailea erreserbatu da.