Güvenlik araştırmacıları, dünyanın en güvenilir açık kaynaklı sanal özel ağ (VPN) çözümlerinden biri olan OpenVPN’de üç önemli güvenlik açığını ortaya çıkardı.
Keşfedilen kusurlar, saldırganların VPN hizmetlerini çökertmesine, temel güvenlik kontrollerini atlamasına veya hassas bellek verilerini okumasına olanak tanıyabilir.
OpenVPN geliştirme ekibi bu sorunları çözmek için acil güncellemeler yayınladı ve yöneticilerin bunları hemen uygulamaları şiddetle tavsiye ediliyor.
| CVE Kimliği | Güvenlik Açığı Türü | Etkilenen Sürümler |
|---|---|---|
| CVE-2025-13751 | Hizmet Reddi (DoS) | 2.6.0 – 2.6.16 2.7_alpha1 – 2.7_rc2 |
| CVE-2025-13086 | Güvenlik Kontrolü Atlatma | 2.6.0 – 2.6.15 2.7_alpha1 – 2.7_rc1 |
| CVE-2025-12106 | Arabellek Aşırı Okuma | 2.7_alpha1 – 2.7_rc1 |
Birçok işletme için en kritik sorun, Windows kullanıcılarını etkileyen Hizmet Reddi (DoS) güvenlik açığıdır. CVE-2025-13751 olarak tanımlanan bu kusur, Windows’ta OpenVPN’in etkileşimli hizmet bileşeninde bulunmaktadır.
Basit bir ifadeyle, yazılımın hataları işleme biçimindeki bir hata, belirli koşullarla karşılaştığında yazılımın tamamen kapanmasına neden olur.
Genellikle bir program küçük bir hatayla karşılaşırsa sorunu günlüğe kaydetmeli ve çalışmaya devam etmelidir. Ancak bu hata, OpenVPN hizmetinin “çıkmasına” veya tamamen çalışmayı durdurmasına neden olur.
Bu gerçekleştiğinde, bir insan yönetici hizmeti manuel olarak yeniden başlatana veya tüm bilgisayarı yeniden başlatana kadar yeni VPN bağlantısı yapılamaz.
Buradaki tehlike, Windows makinesinde oturum açan herhangi bir yerel kullanıcının bu çökmeyi tetikleyebilmesidir. Bu, çalışanların iş istasyonlarını paylaştığı kuruluşlar için önemli bir kesinti riski oluşturmaktadır.
İkinci büyük kusur olan CVE-2025-13086, kullanıcı ile sunucu arasındaki ilk selamlama olan “el sıkışma” sürecinde yer alan bir güvenlik atlama sorunudur.
Doğrulama kontrolünün “tersine çevrildiği” (veya tersine çevrildiği) bir kodlama hatası nedeniyle sistem, tüm güvenlik çerezlerini (HMAC’ler) doğrulamak yerine kabul etmeye başladı.
Bu, sunucunun gelen bağlantıların kaynak IP adresini doğrulama yeteneğini ortadan kaldırır.
Sonuç olarak, saldırganlar sunucuyu sahte IP adreslerinden gelen sahte isteklerle doldurabilir ve geçersiz oturumları yönetirken belleğini ve işlem gücünü tüketmeye zorlayabilir.
Bu, sunucunun kaynaklarını tüketen başka bir Hizmet Reddi biçimidir.
Üçüncü bir güvenlik açığı olan CVE-2025-12106, yazılımın IPv6 adreslerini nasıl okuduğuyla ilgilidir. Eksik bir kontrol, programın olması gerekenden daha fazla bellek okumasına (“arabelleğin aşırı okunması”) izin verebilir ve bu da çökmelere veya veri sızıntılarına yol açabilir.
OpenVPN ekibi hızlı davranarak bu delikleri kapatmak için 2.6.17 ve 2.7_rc3 sürümlerini yayınladı.
OpenVPN 2.6 çalıştırdığınızı varsayalım. x veya daha yeni 2.7 alfa/sürüm adayları. Bu durumda ağınızın güvende kalmasını sağlamak için hemen güncelleme yapmalısınız.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.