製品・ソフトウェアに関する情報
脆弱性検索
OpenVPN における書式文字列に関する脆弱性
タイトル OpenVPN における書式文字列に関する脆弱性
概要

** 未確定 ** 本件は、脆弱性として確定していません。 OpenVPN には、書式文字列に関する脆弱性が存在します。 ベンダは、本脆弱性に対して異議を唱えています。 詳細については、以下の NVD の Current Description を確認してください。 https://nvd.nist.gov/vuln/detail/CVE-2018-7544

想定される影響 情報を取得される、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日 2018年3月16日0:00
登録日 2018年5月9日12:08
最終更新日 2018年5月9日12:08
CVSS3.0 : 緊急
スコア 9.1
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
CVSS2.0 : 警告
スコア 6.4
ベクター AV:N/AC:L/Au:N/C:P/I:N/A:P
影響を受けるシステム
OpenVPN Technologies
OpenVPN 2.4.5 まで
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2018年05月09日]
  掲載		 2018年5月9日12:08
NVD脆弱性情報
CVE-2018-7544
概要

A cross-protocol scripting issue was discovered in the management interface in OpenVPN through 2.4.5. When this interface is enabled over TCP without a password, and when no other clients are connected to this interface, attackers can execute arbitrary management commands, obtain sensitive information, or cause a denial of service (SIGTERM) by triggering XMLHttpRequest actions in a web browser. This is demonstrated by a multipart/form-data POST to http://localhost:23000 with a "signal SIGTERM" command in a TEXTAREA element. NOTE: The vendor disputes that this is a vulnerability. They state that this is the result of improper configuration of the OpenVPN instance rather than an intrinsic vulnerability, and now more explicitly warn against such configurations in both the management-interface documentation, and with a runtime warning

公表日 2018年3月17日0:29
登録日 2021年3月1日19:38
最終更新日 2024年11月21日13:12
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:openvpn:openvpn:*:*:*:*:*:*:*:* 2.4.5
関連情報、対策とツール
共通脆弱性一覧