Jul 10, 2026

OpenVPN 2.7.5/2.6.21 リリース ─ 複数の脆弱性を修正 (07/05)

https://thinkit.co.jp/news/39340

『複数のセキュリティ問題と不具合を修正するパッチリリース。OpenVPN 2.7.5では7件、OpenVPN 2.6.21では6件のCVEに対応している。』

OPNsense環境では次のいずれかでバージョン確認可能
  1. GUIで System → Firmware → Status
  2. SSH等シェルで /usr/local/sbin/openvpn --version
  3. pkg info | grep openvpn

OPNsenseは標準では「自動アップデート」ではなく、「更新確認は自動、適用は手動」が基本。
※ cronでopnsense-updateやpkg upgradeを起動すれば自動化可能だが、可用性喪失リスクがあり企業では一般的でない。

記事に挙がっているCVEを以下整理。OpenVPN 2.7.5/2.6.21では次の脆弱性が修正されています。 [thinkit.co.jp]
CVE
内容(要約)
CVSS
CVE-2026-12996
制御チャネル/認証パケット処理の use-after-free
CVSS v3.x 9.8 Critical(Tenable) [tenable.com], [tenable.com]
CVE-2026-13117
動的 tls-crypt 制御チャネル処理の use-after-free
CVSS v3.0 9.8 Critical [tenable.com]
CVE-2026-13122
auth-token によるサーバクラッシュ(DoS)
CVSS v4.0 5.9 Medium [app.opencve.io], [github.com]
CVE-2026-12932
tls-crypt-v2 クライアント鍵処理のメモリリーク
CVSS v3.x 9.8 Critical(Tenable) [tenable.com]
CVE-2026-13698
tls-crypt-v2 パケット処理のメモリリーク
CVSS v4.0 6.0 Medium [app.opencve.io], [cvefeed.io]
CVE-2026-11771
NTLMv2 プロキシ応答処理の 1-byte buffer overrun
公開CVSS未確認。Tenableでは Critical 扱いだがスコアは未表示。 [tenable.com], [tenable.com]
CVE-2026-13379
Windows DNS SearchList 設定破損(2.7.5のみ)
現時点で公開CVSS確認できず。 [thinkit.co.jp]

Known Exploited Vulnerabilities (KEV) Catalog について

結論として、
記事中の OpenVPN 関連 CVE は、現時点で CISA Known Exploited Vulnerabilities Catalog に掲載されていません。 [cisa.gov], [cisa.gov]
公開されたばかり(2026/7/1~7/6頃)であり、私が確認できた CVE-2026-13122 および CVE-2026-13698 についても KEV: No と明記されています。 [app.opencve.io], [app.opencve.io]

OPNsense利用者向けの実務的な見方

貴方の環境のように OPNsense 上で OpenVPN サーバを使用している場合、

  • KEV掲載なし

  • 攻撃コード公開情報も未確認

  • ただし use-after-free 系(CVE-2026-12996, CVE-2026-13117)は CVSS 9.8

という状況です。 [tenable.com], [tenable.com]

そのため、

「緊急パッチレベルではないが、次回メンテナンスを待たず早めに更新を検討」

が妥当な判断と思われます。特に OpenVPN をインターネットへ公開しているサーバでは優先度は比較的高めです。 [thinkit.co.jp], [tenable.com], [tenable.com]

なお、OPNsense 26.1 が実際にどの OpenVPN バージョンを搭載しているかは、GUIの

System → Firmware → Packages

または SSH で

openvpn --version

で確認できます。現在の OPNsense リポジトリに 2.6.21 が取り込まれたかどうかも併せて確認するとよいでしょう。


←--- 以上、CopilotとGeminiの回答を合体・編集した ---


No comments: