Hack Alerta

OpenVPN corrige três falhas críticas nas linhas 2.6 e 2.7

Por Redação Hack Alerta Publicado em 02/12/2025 06:03 Riscos e Ameaças Tempo de leitura: 3 min

OpenVPN lançou correções nas linhas 2.6 e 2.7 para três vulnerabilidades: CVE‑2025‑13751 (local DoS no Windows), CVE‑2025‑13086 (HMAC bypass) e CVE‑2025‑12106 (IPv6 buffer over‑read). Administradores devem atualizar para 2.6.17 ou 2.7_rc3 conforme a série usada.

A equipe do projeto OpenVPN liberou atualizações para as séries estável 2.6 e de desenvolvimento 2.7, corrigindo três vulnerabilidades que podem causar DoS local, bypass de HMAC e buffer over‑read em parsing IPv6.

Resumo técnico

As correções aparecem em 2.6.17 (estável) e 2.7_rc3 (desenvolvimento) e endereçam as seguintes entradas CVE:

  • CVE‑2025‑13751 — Local DoS no Windows interactive service: erro na rotina de saída que faz o serviço encerrar totalmente em determinadas condições de erro; pode ser explorado por usuários autenticados locais e afeta versões 2.6.0–2.6.16 e 2.7_alpha1–2.7_rc2. Corrigido em 2.6.17 e 2.7_rc3.
  • CVE‑2025‑13086 — HMAC verification bypass: uma inversão na chamada memcmp() no check do HMAC durante o handshake de três vias fazia com que todos os cookies HMAC fossem aceitos, neutralizando a validação de IP de origem; afeta 2.6.0–2.6.15 e 2.7_alpha1–2.7_rc1. Corrigido em 2.6.16 (incluso em 2.6.17) e 2.7_rc2.
  • CVE‑2025‑12106 — IPv6 buffer over‑read: problema de segurança de memória na get_addr_generic ao processar entrada IPv6 inválida, presente em builds 2.7_alpha1–2.7_rc1; relatórios indicam CVSS próximo de 9.1 em algumas análises. Corrigido em 2.7_rc2 (incluído em 2.7_rc3).

Impacto operacional

Administradores devem priorizar atualizações especialmente em ambientes Windows para mitigar o risco de paralisação do serviço causada por CVE‑2025‑13751. Para infraestrutura que aceite conexões públicas ou esteja sujeita a consumo de estado (por exemplo, servidores com alta exposição de rede), a falha de HMAC (CVE‑2025‑13086) representa risco de esgotamento de recursos e de bypass na verificação de origem durante o handshake.

Versões alvo e recomendações

Usuários da rama estável devem atualizar para OpenVPN 2.6.17. Ambientes em teste ou que usem builds da série 2.7 deverão mover‑se para 2.7_rc3. A publicação do projeto inclui tabelas que relacionam CVE, impacto e builds afetados; administradores devem validar compatibilidade com clientes e scripts de automação antes do rollout.

Notas técnicas adicionais

A falha de HMAC resultou de um erro lógico na comparação de memória (memcmp) que aceitou HMACs indevidos e, em consequência, desativou uma camada de verificação de endereço de origem. A correção também reforça checagens de timeslot, rejeitando HMACs com timestamps futuros.

O problema de IPv6 é restrito à série 2.7 (builds alpha/rc), não afetando a maior parte dos deployments estáveis que permanecem na linha 2.6, segundo os comunicados.

O que fazer agora

  • Testar e aplicar OpenVPN 2.6.17 em servidores de produção da linha estável.
  • Para ambientes que usem 2.7 RCs, atualizar para 2.7_rc3 e validar interoperabilidade.
  • Revisar logs para quaisquer sinais de crash do serviço em Windows ou conexões suspeitas que possam indicar tentativas de exploração do HMAC bypass.

Limitações e fontes

Os dados apresentados são baseados no anúncio de segurança do projeto OpenVPN e na cobertura técnica que reproduz as tabelas de CVE e versões afetadas. Não há indicação nas fontes consultadas de exploração ativa em ambiente real para essas falhas no momento da publicação; o foco imediato é a correção e o aconselhamento operacional.

Baseado em publicação original de Cyber Security News
Tags: #openvpn #vpn #vulnerability #hmac #dos #ipv6 #cve-2025-13751 #cve-2025-13086 #cve-2025-12106
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar