CVE-2024-8474：OpenVPN Connect 漏洞泄露私钥

流行的 VPN 客户端应用程序 OpenVPN Connect 修补了一个严重的安全漏洞，该漏洞可能暴露用户的私钥并解密他们的 VPN 流量。

OpenVPN Connect 最近披露的一个漏洞 (CVE-2024-8474) 使数百万用户可能面临网络攻击。该漏洞存在于 3.5.0 之前的版本中，允许应用程序在应用程序日志中以明文形式记录配置文件的私钥。这意味着有权访问设备的恶意行为者可能会提取密钥并解密用户的 VPN 流量，从而使 VPN 保护失效。

OpenVPN Connect 在 Google Play Store 上的下载量超过 1000 万次，是一款用于与 VPN 服务器建立安全连接的热门客户端应用程序。请务必记住，OpenVPN Connect 本身并不提供 VPN 服务；它要求用户连接到单独的 VPN 服务器。

虽然最新版本（3.5.1）主要解决了应用程序稳定性问题（长时间不活动后崩溃），但强烈建议用户更新到此版本以确保他们受到保护免受密钥泄漏漏洞的影响。

OpenVPN Connect 用户应该做什么？

• 立即更新：从Google Play Store和 App Store下载并安装 OpenVPN Connect 3.5.1 或更高版本。

• 检查您的日志：如果您使用的是 3.5.0 之前的版本，请检查您的应用程序日志中是否有任何可疑活动。

• 更改您的 VPN 凭据：作为预防措施，请考虑更改您的 VPN 用户名和密码。

• 保持警惕：始终警惕潜在的安全风险并保持软件更新。

原文始发于微信公众号（Ots安全）：CVE-2024-8474：OpenVPN Connect 漏洞泄露私钥