OpenVPN 未受保護的管理介面
medium Nessus Plugin ID 21330
語系:
概要
遠端 VPN 伺服器無需驗證即可從遠端管理。說明
遠端主機正在執行 OpenVPN,這是一個開放原始碼 SSL VPN。遠端主機上安裝的 OpenVPN 不需要驗證即可存取伺服器的管理介面。攻擊者可利用此問題,只需透過遠端登錄即可完全控制受影響的應用程式。
解決方案
停用管理介面或將其僅繫結至特定位址,例如 127.0.0.1。另請參閱
https://www.securityfocus.com/archive/1/432863/30/60/threaded
https://openvpn.net/community-resources/reference-manual-for-openvpn-2-0/
Plugin 詳細資訊
嚴重性: Medium
ID: 21330
檔案名稱: openvpn_management_interface_accessible.nasl
版本: 1.19
類型: remote
系列: Misc.
已發布: 2006/5/8
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.7
CVSS v2
風險因素: Medium
基本分數: 4
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:P
弱點資訊
CPE: cpe:/a:openvpn:openvpn
弱點發布日期: 2006/5/3
參考資訊
CVE: CVE-2006-2229