Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
09/05/2013
Vulnerabilidad CSRF en OpenVPN
Charlie Eriksen ha descubierto una vulnerabilidad en el servidor de acceso OpenVPN, que podría ser aprovechada por atacantes maliciosos para realizar un ataque CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados).Riesgo: Bajo
Charlie Eriksen ha descubierto una vulnerabilidad en el servidor de acceso OpenVPN, que podría ser aprovechada por atacantes maliciosos para realizar un ataque CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados).
La aplicación permite a los usuario realizar determinadas acciones a través de peticiones HTTP sin realizar adecuadamente las comprobaciones para verifiacr las peticiones. Esto puede ser aprovecha para, por ejemplo, crear un usuario con permisos de administración cuando un administrador que está logueado visita una página creada espcíficamente.
La vulnerabilidad está confirmada para la versión 1.8.4. Otras versiones podrían verse también afectadas.
Sistemas Afectados:
OpenVPN Access Server 1.x
Referencias:CVE-2013-2692
Solución:Actualizar a la versión 1.8.5.
Notas:El proveedor reconoce el descubrimiento a Charlie Eriksen
OpenVPN:
http://openvpn.net/index.php/access-server/download-openvpn-as/531-release-notes-v185.html
Fuente: Secunia Advisories