首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】OpenVPN DCO驱动程序缓冲区溢出漏洞 (CVE-2025-50054)

发布时间 2025-06-23

一、漏洞概述


漏洞名称

OpenVPN DCO驱动程序缓冲区溢出漏洞

CVE   ID

CVE-2025-50054

漏洞类型

缓冲区溢出漏洞

发现时间

2025-06-23

漏洞评分

9.8

漏洞等级

严重

攻击向量

本地

所需权限

利用难度

用户交互

不需要

PoC/EXP

未公开

在野利用

未发现


OpenVPN是一款开源的虚拟私人网络(VPN)软件,利用SSL/TLS协议实现加密通信,支持点对点和站点到站点的安全连接,广泛应用于远程访问和企业网络。它支持多种身份验证方式,包括预共享密钥、数字证书和用户名/密码组合。通过使用OpenSSL加密库,OpenVPN提供高达256位的加密强度,并支持完美前向保密(PFS)功能,增强数据安全性。OpenVPN兼容多种操作系统,如Windows、Linux、macOS、iOS和Android,适用于家庭用户、企业和开发者,因其高安全性、灵活性和开源特性,成为全球最受欢迎的VPN解决方案之一。


2025年6月23日,启明星辰集团VSRC监测到openvpn发布安全公告,披露openvpn中的一个缓冲区溢出漏洞。该漏洞存在于OpenVPN的Windows数据通道卸载驱动程序(ovpn-dco-win)中,当用户空间进程向内核驱动程序发送超过1500字节的控制消息时,会导致Windows DCO驱动程序崩溃。此漏洞仅能通过本地进程触发,而非远程攻击,且即使是非特权进程也能利用此漏洞。OpenVPN本身具有限制,不会发送超长消息,但自定义编译的OpenVPN或其他与DCO驱动程序交互的进程可能绕过该限制,触发漏洞。该漏洞可能导致系统不稳定。


二、影响范围


ovpn-dco-win ≤ 1.3.0
2.6.0-I005 ≤ OpenVPN GUI for Windows ≤ 2.6.14-I001
OpenVPN GUI for Windows = 2.7_alpha1-I001


三、安全措施


3.1 升级版本


建议升级OpenVPN GUI for Windows至如下版本
OpenVPN GUI for Windows ≥ 2.6.14-I002
OpenVPN GUI for Windows ≥ 2.7_alpha2-I001。


下载链接:https://openvpn.net/community-downloads/


3.2 临时措施


暂无。


3.3 通用建议


•定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。


3.4 参考链接


https://community.openvpn.net/Security%20Announcements/CVE-2025-50054
https://nvd.nist.gov/vuln/detail/CVE-2025-50054
上一篇 下一篇