阿里云漏洞库

低危 OpenVPN 至 2.3.0 openvpn_decrypt 信息泄漏漏洞

CVE编号

CVE-2013-2061

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-11-18

漏洞描述

OpenVPN是一个基于OpenSSL库的应用层VPN实现。

OpenVPN存在信息泄露漏洞。攻击者可以利用漏洞获得敏感信息，这可能有助于进一步的攻击。

解决建议

用户可联系供应商获得补丁信息：
http://openvpn.net/

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105568.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-May/105609.html
http://lists.opensuse.org/opensuse-updates/2013-11/msg00012.html
http://lists.opensuse.org/opensuse-updates/2013-11/msg00016.html
http://www.mandriva.com/security/advisories?name=MDVSA-2013:167
http://www.openwall.com/lists/oss-security/2013/05/06/6
https://bugs.gentoo.org/show_bug.cgi?id=468756
https://bugzilla.redhat.com/show_bug.cgi?id=960192
https://community.openvpn.net/openvpn/wiki/SecurityAnnouncement-f375aa67cc
https://github.com/OpenVPN/openvpn/commit/11d21349a4e7e38a025849479b36ace7c2eec2ee

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	openvpn	openvpn	*		Up to (including) 2.3.0
	运行在以下环境
	应用	openvpn	openvpn	1.2.0	-
	运行在以下环境
	应用	openvpn	openvpn	1.2.1	-
	运行在以下环境
	应用	openvpn	openvpn	1.3.0	-
	运行在以下环境
	应用	openvpn	openvpn	1.3.1	-
	运行在以下环境
	应用	openvpn	openvpn	1.3.2	-
	运行在以下环境
	应用	openvpn	openvpn	1.4.0	-
	运行在以下环境
	应用	openvpn	openvpn	1.4.1	-
	运行在以下环境
	应用	openvpn	openvpn	1.4.2	-
	运行在以下环境
	应用	openvpn	openvpn	1.4.3	-
	运行在以下环境
	应用	openvpn	openvpn	1.5.0	-
	运行在以下环境
	应用	openvpn	openvpn	1.6.0	-
	运行在以下环境
	应用	openvpn	openvpn	2.1.0	-
	运行在以下环境
	应用	openvpn	openvpn	2.2.0	-
	运行在以下环境
	应用	openvpn	openvpn_access_server	2.0.0	-
	运行在以下环境
	系统	amazon_AMI	openvpn	*		Up to (excluding) 2.3.1-1.7.amzn1
	运行在以下环境
	系统	debian_10	openvpn	*		Up to (excluding) 2.3.1-1
	运行在以下环境
	系统	debian_11	openvpn	*		Up to (excluding) 2.3.1-1
	运行在以下环境
	系统	debian_12	openvpn	*		Up to (excluding) 2.3.1-1
	运行在以下环境
	系统	debian_6	openvpn	*		Up to (excluding) 2.1.3-2+squeeze2
	运行在以下环境
	系统	debian_7	openvpn	*		Up to (excluding) 2.2.1-8+deb7u1
	运行在以下环境
	系统	fedora_EPEL_5	openvpn	*		Up to (excluding) 2.3.1-1.el5
	运行在以下环境
	系统	suse_11	openvpn	*		Up to (excluding) 2.0.9-143.44
	运行在以下环境
	系统	ubuntu_12.04.5_lts	openvpn	*		Up to (excluding) 2.2.1-8ubuntu1.3
	运行在以下环境
	系统	ubuntu_14.04.6_lts	openvpn	*		Up to (excluding) 2.3.1-2ubuntu1

攻击路径

本地
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

-

CWE-ID	漏洞类型
CWE-200	信息暴露