OpenVPN, 2,6 kararlı ve 2,7 geliştirme şubesi için, yerel hizmet reddine (DoS), güvenlik atlamalarına ve ara belleğin aşırı okunmasına yol açabilecek üç güvenlik açığını ele alan kritik güvenlik güncellemeleri yayınladı.
Yeni yayımlanan 2.6.17 ve 2.7_rc3 sürümlerinde yer alan yamalar, HMAC doğrulamasındaki mantık hatalarından Windows etkileşimli hizmetindeki kararlılık kusurlarına kadar çeşitli sorunları düzeltiyor.
Yöneticilerin, özellikle de Windows’ta OpenVPN çalıştıranların veya 2.7 sürüm adaylarını kullananların, derhal yükseltme yapmaları tavsiye edilir.
Windows Etkileşimli Hizmet DoS’u (CVE-2025-13751)
Windows ortamları için en önemli sorun, etkileşimli hizmet bileşenini etkileyen yerel bir hizmet reddi güvenlik açığı olan CVE-2025-13751’dir.
Kusur, hatayı günlüğe kaydedip operasyonlara devam etmek yerine, belirli hata koşullarıyla karşılaşıldığında hizmetin tamamen kapandığı hatalı bir çıkış rutinini içeriyor.
Bu güvenlik açığı, kimliği doğrulanmış herhangi bir yerel kullanıcı tarafından tetiklenebilir ve bu da onu çok kullanıcılı Windows sistemleri için orta düzeyde bir risk haline getirir.
Tetiklendikten sonra OpenVPN hizmeti sonlanır ve hizmet manuel olarak yeniden başlatılana veya sistem yeniden başlatılana kadar yeni VPN bağlantılarını engeller. Bu sorun OpenVPN’in 2.6.0 ila 2.6.16 ve 2.7_alpha1 ila 2.7_rc2 sürümlerini etkilemektedir. 2.6.17 ve 2.7_rc3’te çözüldü.
HMAC Doğrulama Atlaması (CVE-2025-13086)
3 yönlü el sıkışma sırasında kullanılan HMAC doğrulama kontrolünde CVE-2025-13086 olarak tanımlanan ciddi bir mantık hatası bulundu. Koddaki ters memcmp() çağrısı nedeniyle sistem yanlışlıkla tüm HMAC çerezlerini kabul etti ve kaynak IP adresi doğrulamasını etkili bir şekilde etkisiz hale getirdi.
Bu başarısızlık, saldırganların ilk doğrulama katmanını atlamasına, potansiyel olarak TLS oturumları açmasına ve meşru bir bağlantı başlatmayan IP adreslerinden sunucu durumunu tüketmesine olanak tanır.
Güncelleme aynı zamanda daha sıkı zaman aralığı kontrolleri uygulayarak gelecekteki zaman damgalarından gelen HMAC’leri reddediyor. Bu güvenlik açığı 2.6.0’dan 2.6.15’e kadar olan sürümleri etkilemektedir ve 2.6.16’da giderilmiştir (ve 2.6.17’ye eklenmiştir).
IPv6 Arabellek Aşırı Okuma (CVE-2025-12106)
Geliştirme dalındaki (2.7 serisi) kullanıcılar için CVE-2025-12106, yüksek önemde bir bellek güvenliği sorunu sunar. Güvenlik açığı, get_addr_generic işlevindeki eşleşmeyen adres ailesi kontrolünden kaynaklanıyor ve geçersiz IPv6 girişi ayrıştırılırken yığın arabelleğinin aşırı okunmasına yol açabiliyor.
Bu kusur, bellek bozulması potansiyeli nedeniyle bazı raporlarda kritik CVSS puanı 9,1 ile derecelendirilmiş olsa da, kesinlikle 2,7_alpha1 ila 2,7_rc1 yapıları ile sınırlıdır ve kararlı 2,6 dalını etkilemez.
Aşağıdaki tabloda güvenlik açıkları ve bunları azaltmak için gereken sürümler özetlenmektedir. Kararlı şubedeki kullanıcılar 2.6.17’yi hedeflemeli, test şubesi kullanıcıları ise 2.7_rc3’e güncellemelidir.
| CVE Kimliği | Güvenlik Açığı Türü | Darbe | Etkilenen Sürümler | Sabit |
|---|---|---|---|---|
| CVE-2025-13751 | Yerel DoS | Windows’ta hizmet çökmesi | 2.6.0–2.6.16 2.7_alpha1–2.7_rc2 |
2.6.17 2.7_rc3 |
| CVE-2025-13086 | Güvenlik Atlaması | HMAC kontrol hatası | 2.6.0–2.6.15 2.7_alpha1–2.7_rc1 |
2.6.16 2.7_rc2 |
| CVE-2025-12106 | Arabellek Aşırı Okuma | Geçersiz IPv6 ayrıştırması | 2.7_alpha1–2.7_rc1 | 2.7_rc2 |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
