## Vulnerabilità critiche in OpenVPN: cosa è successo
OpenVPN ha rilasciato aggiornamenti di sicurezza critici per le versioni 2.6 stable e 2.7 development, affrontando tre vulnerabilità significative che rappresentano rischi importanti per la sicurezza delle infrastrutture VPN. Le patch, incluse nelle versioni appena rilasciate 2.6.17 e 2.7_rc3, risolvono problemi che vanno dagli errori logici nella verifica HMAC alle vulnerabilità di stabilità nel servizio interattivo di Windows.
Gli amministratori di sistema sono fortemente invitati ad aggiornare immediatamente i loro sistemi, in particolare coloro che eseguono OpenVPN su ambienti Windows o utilizzano i candidati al rilascio della versione 2.7.
## Negazione del servizio nel servizio interattivo Windows (CVE-2025-13751)
La vulnerabilità più significativa per gli ambienti Windows è **CVE-2025-13751**, una vulnerabilità di negazione del servizio locale che colpisce il componente del servizio interattivo. Questo difetto comporta una routine di uscita errata in cui il servizio si arresta completamente quando si verificano specifiche condizioni di errore, anziché registrare l’errore e continuare le operazioni normali.
Questa vulnerabilità può essere attivata da qualsiasi utente locale autenticato, rendendola un rischio moderato per i sistemi Windows multi-utente. Una volta attivata, il servizio OpenVPN si interrompe, impedendo nuove connessioni VPN fino al riavvio manuale del servizio o del sistema.
Il problema colpisce le versioni OpenVPN da 2.6.0 a 2.6.16 e da 2.7_alpha1 a 2.7_rc2, ed è risolto nelle versioni 2.6.17 e 2.7_rc3.
## Bypass della verifica HMAC (CVE-2025-13086)
Un grave errore logico, identificato come **CVE-2025-13086**, è stato scoperto nel controllo di verifica HMAC utilizzato durante l’handshake a tre vie. A causa di una chiamata memcmp() invertita nel codice, il sistema ha accettato inadvertentemente tutti i cookie HMAC, neutralizzando effettivamente la convalida dell’indirizzo IP di origine.
Questo difetto consente agli aggressori di bypassare il primo livello di verifica, potenzialmente aprendo sessioni TLS e consumando lo stato del server da indirizzi IP che non hanno avviato una connessione legittima. L’aggiornamento applica anche controlli di slot temporali più rigorosi, rifiutando gli HMAC da timestamp futuri.
Questa vulnerabilità colpisce le versioni da 2.6.0 a 2.6.15 ed è corretta nella versione 2.6.16 (e inclusa in 2.6.17).
## Lettura eccessiva del buffer IPv6 (CVE-2025-12106)
Per gli utenti del ramo di sviluppo (serie 2.7), **CVE-2025-12106** presenta un problema di sicurezza della memoria ad alta gravità. La vulnerabilità deriva da un controllo della famiglia di indirizzi non corrispondente nella funzione get_addr_generic, che può portare a una lettura eccessiva del buffer heap durante l’analisi di input IPv6 non validi.
Sebbene questo difetto sia stato valutato con un punteggio CVSS critico di 9.1 in alcuni rapporti a causa del suo potenziale di corruzione della memoria, è strettamente limitato alle build 2.7_alpha1 attraverso 2.7_rc1 e non colpisce il ramo stabile 2.6.
## Tabella di riepilogo delle vulnerabilità
| ID CVE | Tipo di vulnerabilità | Impatto | Versioni interessate | Risolto in |
|——–|———————-|———|———————|————|
| CVE-2025-13751 | Negazione del servizio locale | Crash del servizio su Windows | 2.6.0–2.6.16, 2.7_alpha1–2.7_rc2 | 2.6.17, 2.7_rc3 |
| CVE-2025-13086 | Bypass della sicurezza | Errore di verifica HMAC | 2.6.0–2.6.15, 2.7_alpha1–2.7_rc1 | 2.6.16, 2.7_rc2 |
| CVE-2025-12106 | Lettura eccessiva del buffer | Corruzione della memoria | 2.7_alpha1–2.7_rc1 | 2.7_rc2 |
## Raccomandazioni per gli amministratori
Gli utenti del ramo stabile dovrebbero aggiornare alla versione 2.6.17, mentre gli utenti del ramo di test devono aggiornare alla versione 2.7_rc3. È essenziale implementare questi aggiornamenti il prima possibile per proteggere l’infrastruttura VPN dalle minacce identificate.
