OpenVPN Access Server CRLF注入漏洞

CVE编号

CVE-2017-5868

利用情况

暂无

补丁情况

N/A

披露时间

2017-05-26
漏洞描述
OpenVPN是美国OpenVPN公司的一个用于创建虚拟专用网络(VPN)加密通道的软件包,它使用OpenSSL库来加密数据与控制信息。OpenVPN Access Server是OpenVPN的商业收费版本。

OpenVPN Access Server 存在CRLF注入漏洞。攻击者可以利用该漏洞向web网页添加任意头部并发起进一步的攻击。
解决建议
目前没有详细的解决方案提供:
http://seclists.org/oss-sec/2017/q2/332
参考链接
http://www.openwall.com/lists/oss-security/2017/05/23/13
http://www.securitytracker.com/id/1038547
https://sysdream.com/news/lab/2017-05-05-cve-2017-5868-openvpn-access-server-...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 openvpn openvpn_access_server 2.1.4 -
CVSS3评分
6.1
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    已更改
  • 用户交互
    需要
  • 可用性
  • 保密性
  • 完整性
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CWE-ID 漏洞类型
CWE-93 对CRLF序列的转义处理不恰当(CRLF注入)
阿里云安全产品覆盖情况