Yaygın olarak kullanılan bir açık kaynaklı sanal ağ (VPN) yazılımı olan OpenVPN, son zamanlarda saldırganların sunucuları çarpmasına ve belirli koşullar altında uzaktan kodu yürütmesine izin verebilecek bir güvenlik açığı yamaladı.
CVE-2025-2704 olarak tanımlanan kusur, belirli konfigürasyonları kullanarak OpenVPN sunucularını etkiler ve yeni yayınlanan OpenVPN 2.6.14 sürümünde ele alınmıştır.
CVE-2025-2704: Genel Bakış
Güvenlik açığı, 2.6.1 ila 2.6.13 sürümlerini çalıştıran ve –tls-crypt-v2 yapılandırmasını kullanan OpenVPN sunucularına özgüdür.
Doğrulanmış ve hatalı formlu paketlerin bir kombinasyonunu göndermek için böyle bir anahtar kullanarak geçerli bir TLS-Crypt-V2 istemci anahtarına veya bir el sıkışmasının ağ gözlemine sahip bir saldırganın izin verir.
Bu paketler bir assert () mesajını tetikler ve sunucunun beklenmedik bir şekilde iptal edilmesine neden olur.
Hiçbir kriptografik bütünlük ihlal edilmese de, veri sızdırılmamış ve uzaktan kod yürütülmesi doğrudan mümkün olmasa da, güvenlik açığı etkilenen sunucular için bir hizmet reddi (DOS) riski oluşturur.
Neyse ki, OpenVPN müşterileri bu hatadan etkilenmez.
Kusur, titiz iç güvenlik değerlendirmelerinin önemini gösteren OpenVPN Inc.’deki dahili kalite güvence testi ile keşfedildi.
Etkilenen ürünler
Aşağıda etkilenen ürün ve versiyonların ayrıntılı bir tablosu verilmiştir:
| Ürün | Versiyon | Güvenlik Açığı Etkisi |
| Openvpn Sunucusu | 2.6.1 ila 2.6.13 | Hatalı biçimlendirilmiş paketler üzerinden olası çarpışma |
| OpenVPN Sunucusu (TLS-CRYPT-V2 kullanarak) | 2.6.1 ila 2.6.13 | Hizmet reddi saldırısı riski |
| Openvpn istemcisi | Tüm sürümler | Etkilenmedi |
OpenVPN’nin yanıtı ve düzeltmeleri
OpenVPN, bu güvenlik sorununu ele almak için 2.6.14 sürümünü yayınladı. Bu güncelleme, CVE-2025-2704 ve diğer bazı küçük hata düzeltmeleri için yama içerir:
- Güvenlik düzeltmesi: Yama, kötü biçimlendirilmiş paketlerin artık sunucu kazalarına yol açmamasını sağlar.
- Hata düzeltmeleri: İyileştirmeler, Windows MSI yükleyicisinde –MultiHome ve güncellemeleri kullanarak kaynak IP seçimi için Linux DCO geliştirmelerini içerir.
Güncellenmiş sürüm, en son güvenlik protokollerini sağlayarak OpenSSL 3.4.1’e karşı oluşturulur.
Nasıl Güncellenir
CVE-2025-2704 tarafından ortaya çıkan riskleri azaltmak için, yöneticiler OpenVPN sunucularını en son sürüme yükseltmelidir (2.6.14).
Güncelleme, OpenVPN’nin resmi web sitesinde sağlanan kurulum dosyaları ve GNUPG imzaları ile Windows, Linux ve FreeBSD sistemleri için kullanılabilir.
OpenVPN, kullanıcıların, özellikle –tls-crypt-v2 gibi gelişmiş özellikleri kullanırken düzenli olarak sunucu yapılandırmalarını denetlemelerini önerir.
Önceki sürümleri çalıştıran sunucular için –TLS-Crypt-V2’yi devre dışı bırakma, güncelleme uygulanana kadar pozlamayı geçici olarak azaltabilir.
CVE-2025-2704 kusuru, karmaşık VPN konfigürasyonlarındaki potansiyel güvenlik açıklarını vurgularken, OpenVPN’nin hızlı yanıtı ve güvenlik konusundaki aktif taahhüdü, dünya çapında işletmeler ve bireyler için güvenilir bir VPN çözümü olarak güvenilirliğini vurgulamaktadır.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!