關(guān)鍵詞

安全漏洞

OpenVPN 在 Windows 系統(tǒng)上的核心驅(qū)動(dòng)程序 ovpn-dco-win 被發(fā)現(xiàn)存在嚴(yán)重緩沖區(qū)溢出漏洞，編號(hào)為 CVE-2025-50054。攻擊者可在本地以普通用戶權(quán)限向該驅(qū)動(dòng)發(fā)送特制控制消息，觸發(fā)堆溢出，導(dǎo)致整個(gè)系統(tǒng)崩潰。這一漏洞已對(duì)廣泛使用 OpenVPN 的企業(yè)和個(gè)人用戶構(gòu)成實(shí)際威脅。

漏洞影響 OpenVPN 2.5.8 及之前版本，以及 ovpn-dco-win 1.3.0 及更早版本。該驅(qū)動(dòng)自 OpenVPN 2.6 起成為默認(rèn)組件，因此很多用戶可能在不知情的情況下已受影響。研究人員指出，漏洞可被濫用于持續(xù)制造系統(tǒng)宕機(jī)，實(shí)現(xiàn)拒絕服務(wù)攻擊。

OpenVPN 社區(qū)已發(fā)布 2.7_alpha2 版本以修復(fù)該問(wèn)題，雖然該版本仍處于測(cè)試階段，但已集成安全補(bǔ)丁。此次漏洞涉及的 ovpn-dco-win 驅(qū)動(dòng)是為了提升 VPN 性能而開發(fā)的新一代內(nèi)核驅(qū)動(dòng)，其設(shè)計(jì)初衷是減少用戶態(tài)與內(nèi)核態(tài)之間的數(shù)據(jù)往返。但正因?yàn)檫\(yùn)行在內(nèi)核層，其一旦被利用，后果也更為嚴(yán)重。

該版本還引入了多個(gè)架構(gòu)優(yōu)化，并默認(rèn)淘汰了舊版 wintun 驅(qū)動(dòng)，以 win-dco 取而代之。OpenVPN 官方建議用戶盡快關(guān)注更新信息，在穩(wěn)定版本發(fā)布后立即升級(jí)。當(dāng)前未能升級(jí)的用戶應(yīng)臨時(shí)采取防護(hù)措施，例如限制本地用戶訪問(wèn) VPN 驅(qū)動(dòng)接口，以降低風(fēng)險(xiǎn)。

專家提醒，此類系統(tǒng)級(jí)漏洞即便不涉及數(shù)據(jù)泄露，也具有極高的業(yè)務(wù)中斷風(fēng)險(xiǎn)，特別是部署在生產(chǎn)服務(wù)器或遠(yuǎn)程辦公環(huán)境中的系統(tǒng)應(yīng)特別關(guān)注此次事件。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！