OpenVPN đã phát hành các bản cập nhật bảo mật quan trọng cho các nhánh ổn định 2.6 và phát triển 2.7, nhằm giải quyết ba lỗ hổng OpenVPN có thể dẫn đến tấn công từ chối dịch vụ (DoS) cục bộ, bỏ qua bảo mật và lỗi đọc quá bộ đệm.

Các bản vá này, được tích hợp trong phiên bản 2.6.17 và 2.7_rc3 mới phát hành, khắc phục các vấn đề từ lỗi logic trong xác minh HMAC đến các lỗ hổng ổn định trong dịch vụ tương tác của Windows.

Các quản trị viên được khuyến nghị nâng cấp ngay lập tức, đặc biệt là những người đang chạy OpenVPN trên Windows hoặc sử dụng các phiên bản ứng cử viên 2.7.

Cập nhật Bảo mật Quan trọng cho OpenVPN

Các bản cập nhật này là cần thiết để bảo vệ hệ thống khỏi các rủi ro tiềm tàng. Việc không cập nhật có thể khiến hệ thống dễ bị tấn công, dẫn đến gián đoạn dịch vụ hoặc lộ lọt thông tin.

Ba lỗ hổng chính đã được xác định và khắc phục, mỗi lỗ hổng đều mang theo mức độ rủi ro và tác động khác nhau đến môi trường OpenVPN.

CVE-2025-13751: Lỗ hổng DoS Cục bộ trên Dịch vụ Tương tác Windows

Vấn đề đáng chú ý nhất đối với môi trường Windows là CVE-2025-13751, một lỗ hổng từ chối dịch vụ cục bộ ảnh hưởng đến thành phần dịch vụ tương tác. Đây là một cảnh báo CVE quan trọng cần được ưu tiên.

Lỗi này liên quan đến một quy trình thoát không chính xác, trong đó dịch vụ tự động đóng hoàn toàn khi gặp các điều kiện lỗi cụ thể, thay vì chỉ ghi nhật ký lỗi và tiếp tục hoạt động.

Lỗ hổng này có thể bị kích hoạt bởi bất kỳ người dùng cục bộ được xác thực nào, tạo ra rủi ro vừa phải cho các hệ thống Windows đa người dùng. Chi tiết CVE-2025-13751

Khi bị kích hoạt, dịch vụ OpenVPN sẽ chấm dứt, ngăn chặn mọi kết nối VPN mới cho đến khi dịch vụ được khởi động lại thủ công hoặc hệ thống được khởi động lại.

Vấn đề này ảnh hưởng đến các phiên bản OpenVPN từ 2.6.0 đến 2.6.16 và 2.7_alpha1 đến 2.7_rc2. Lỗ hổng này đã được khắc phục trong phiên bản 2.6.17 và 2.7_rc3.

CVE-2025-13086: Lỗi Xác minh HMAC và Bỏ qua Xác thực Địa chỉ IP Nguồn

Một lỗ hổng logic nghiêm trọng, được xác định là CVE-2025-13086, đã được tìm thấy trong kiểm tra xác minh HMAC được sử dụng trong quá trình bắt tay 3 chiều.

Do một lệnh gọi memcmp() bị đảo ngược trong mã, hệ thống vô tình chấp nhận tất cả các cookie HMAC, làm vô hiệu hóa việc xác thực địa chỉ IP nguồn.

Sự thất bại này cho phép kẻ tấn công bỏ qua lớp xác minh ban đầu, có khả năng mở các phiên TLS và tiêu thụ trạng thái máy chủ từ các địa chỉ IP không khởi tạo kết nối hợp lệ.

Đây là một lỗ hổng OpenVPN nghiêm trọng cần được vá ngay lập tức. Chi tiết CVE-2025-13086

Bản cập nhật cũng thực thi các kiểm tra khung thời gian chặt chẽ hơn, từ chối các HMAC từ các dấu thời gian trong tương lai. Lỗ hổng này ảnh hưởng đến các phiên bản từ 2.6.0 đến 2.6.15 và đã được khắc phục trong phiên bản 2.6.16 (và bao gồm trong 2.6.17).

CVE-2025-12106: Lỗi An toàn Bộ nhớ Cao cấp (Chỉ nhánh Phát triển)

Đối với người dùng trên nhánh phát triển (dòng 2.7), CVE-2025-12106 trình bày một vấn đề an toàn bộ nhớ mức độ nghiêm trọng cao.

Lỗ hổng này xuất phát từ việc kiểm tra họ địa chỉ không khớp trong hàm get_addr_generic, có thể dẫn đến lỗi đọc quá bộ đệm heap khi phân tích cú pháp đầu vào IPv6 không hợp lệ.

Mặc dù lỗ hổng OpenVPN này đã được đánh giá với điểm CVSS 9.1 (critical) trong một số báo cáo do khả năng gây hỏng bộ nhớ, nhưng nó chỉ giới hạn ở các bản dựng 2.7_alpha1 đến 2.7_rc1 và không ảnh hưởng đến nhánh ổn định 2.6.

Chi tiết CVE-2025-12106

Khuyến nghị và Cập nhật Bản vá Bảo mật

Để đảm bảo an toàn cho hệ thống, việc áp dụng bản vá bảo mật là vô cùng cần thiết. Người dùng trên nhánh ổn định nên cập nhật lên phiên bản 2.6.17.

Đối với người dùng nhánh thử nghiệm (development branch), việc cập nhật lên 2.7_rc3 là bắt buộc để khắc phục các lỗ hổng OpenVPN đã được báo cáo.

Bảng dưới đây tóm tắt các lỗ hổng và các phiên bản cần thiết để giảm thiểu rủi ro:

• CVE-2025-13751: Cần phiên bản 2.6.17 (stable) hoặc 2.7_rc3 (development).
• CVE-2025-13086: Cần phiên bản 2.6.16 hoặc 2.6.17 (stable).
• CVE-2025-12106: Cần phiên bản 2.7_rc3 (development).

Việc cập nhật kịp thời không chỉ khắc phục các lỗ hổng OpenVPN hiện tại mà còn giúp củng cố tổng thể an ninh mạng cho hạ tầng của bạn. Đảm bảo rằng tất cả các phiên bản OpenVPN đang chạy đều được nâng cấp lên các bản vá mới nhất để tránh nguy cơ bị khai thác.