CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

09/05/2013

Vulnerabilitat CSRF en OpenVPN

Charlie Eriksen ha descobert una vulnerabilitat en el servidor d’accés OpenVPN, que podria ser aprofitada per atacants maliciosos per a realitzar un atac CSRF (de l’anglés Cross-site request forgery o falsificació de petició en llocs creuats ).

Risc: Baix

Charlie Eriksen ha descobert una vulnerabilitat en el servidor d’accés OpenVPN, que podria ser aprofitada per atacants maliciosos per a realitzar un atac CSRF (de l’anglés Cross-site request forgery o falsificació de petició en llocs creuats).

L’aplicació permet als usuaris fer determinades accions a través de peticions HTTP sense realitzar adequadament les comprovacions per a verificar les peticions. Açò pot ser aprofitat per a, per exemple, crear un usuari amb permisos d’administració quan un administrador que està registrant visita una pàgina creada espcíficament.

La vulnerabilitat està confirmada per a la versió 1.8.4. Altres versions podrien veure’s també afectades.

Sistemes Afectats:

OpenVPN Access Server 1.x

Referències:

CVE-2013-2692

Solució:

Actualitzar a la versió 1.8.5.

Notes:

El proveïdor reconeix el descobriment a Charlie Eriksen

OpenVPN:
http://openvpn.net/index.php/access-server/download-openvpn-as/531-release-notes-v185.html

Font: Secunia Advisories

CSIRT-CV