https://thinkit.co.jp/news/ 39340
『複数のセキュリティ問題と不具合を修正するパッチリリース。 OpenVPN 2.7.5では7件、OpenVPN 2.6.21では6件のCVEに対応している。』
OPNsense環境では次のいずれかでバージョン確認可能
- GUIで System → Firmware → Status
- SSH等シェルで /usr/local/sbin/openvpn --version
- pkg info | grep openvpn
OPNsenseは標準では「自動アップデート」ではなく、「 更新確認は自動、適用は手動」が基本。
※ cronでopnsense-updateやpkg upgradeを起動すれば自動化可能だが、 可用性喪失リスクがあり企業では一般的でない。
記事に挙がっているCVEを以下整理。OpenVPN 2.7.5/2.6.21では次の脆弱性が修正されています。 [thinkit.co.jp]
CVE | 内容(要約) | CVSS |
|---|---|---|
CVE-2026-12996 | 制御チャネル/認証パケット処理の use-after-free | |
CVE-2026-13117 | 動的 tls-crypt 制御チャネル処理の use-after-free | CVSS v3.0 9.8 Critical [tenable.com] |
CVE-2026-13122 | auth-token によるサーバクラッシュ(DoS) | CVSS v4.0 5.9 Medium [app.opencve.io], [github.com] |
CVE-2026-12932 | tls-crypt-v2 クライアント鍵処理のメモリリーク | CVSS v3.x 9.8 Critical(Tenable) [tenable.com] |
CVE-2026-13698 | tls-crypt-v2 パケット処理のメモリリーク | CVSS v4.0 6.0 Medium [app.opencve.io], [cvefeed.io] |
CVE-2026-11771 | NTLMv2 プロキシ応答処理の 1-byte buffer overrun | |
CVE-2026-13379 | Windows DNS SearchList 設定破損(2.7.5のみ) | 現時点で公開CVSS確認できず。 [thinkit.co.jp] |
Known Exploited Vulnerabilities (KEV) Catalog について
結論として、
記事中の OpenVPN 関連 CVE は、現時点で CISA Known Exploited Vulnerabilities Catalog に掲載されていません。 [cisa.gov], [cisa.gov]
公開されたばかり(2026/7/1~7/6頃)であり、 私が確認できた CVE-2026-13122 および CVE-2026-13698 についても KEV: No と明記されています。 [app.opencve.io], [app.opencve.io]
OPNsense利用者向けの実務的な見方
貴方の環境のように OPNsense 上で OpenVPN サーバを使用している場合、
KEV掲載なし
攻撃コード公開情報も未確認
ただし use-after-free 系(CVE-2026-12996, CVE-2026-13117)は CVSS 9.8
という状況です。 [tenable.com], [tenable.com]
そのため、
「緊急パッチレベルではないが、
が妥当な判断と思われます。特に OpenVPN をインターネットへ公開しているサーバでは優先度は比較的高めで
なお、OPNsense 26.1 が実際にどの OpenVPN バージョンを搭載しているかは、GUIの
System → Firmware → Packages
または SSH で
openvpn --version
で確認できます。現在の OPNsense リポジトリに 2.6.21 が取り込まれたかどうかも併せて確認するとよいでしょう。
←--- 以上、CopilotとGeminiの回答を合体・編集した ---
No comments:
Post a Comment