OpenVPN项目已发布了2.7_rc2版本，推出了一项关键的安全更新，该更新解决了一个可能使系统暴露于远程攻击的高危漏洞。此候选发布版本修复了两个特定的CVE，包括一个严重的缓冲区过读问题，同时还为Windows服务引入了重要的加固措施。

最严重的漏洞编号为CVE-2025-12106，其关键CVSS评分为9.1。此漏洞触及了该软件处理现代网络寻址方式的核心。根据安全公告，该漏洞是由于“OpenVPN 2.7_alpha1至2.7_rc1版本中参数验证不足”引起的，使得“攻击者在解析IP地址时可以触发堆缓冲区过读”。

堆缓冲区过读可能特别危险。虽然通常会导致崩溃（DoS），但在某些情况下，可能允许攻击者从服务器进程泄漏敏感的内存数据。此特定漏洞影响了实验性的2.7分支，具体是2.7_alpha1至2.7_rc1版本。

第二个漏洞CVE-2025-13086，代表了软件防御机制中的逻辑故障。此问题涉及基于哈希的消息认证码（HMAC）验证检查，该系统旨在服务器为传入数据包投入资源之前验证其来源。公告揭示了一个令人震惊的编码错误：“由于程序代码错误，所有HMAC Cookie都被接受，从而破坏了源IP地址验证。”

这种绕过的后果对服务器资源管理和安全性影响重大。“其结果是，TLS会话可以从未发起初始连接的IP地址打开，并在服务器中消耗状态”。这为攻击者用非法会话淹没服务器打开了大门，可能导致资源耗尽。

与IPv6漏洞不同，此漏洞的影响范围更广，也影响了稳定版本。受影响的OpenVPN版本包括2.6.0至2.6.15以及2.7_alpha1至2.7_rc1。

除了安全补丁之外，2.7_rc2版本的发布还带来了Windows子系统的显著变更，包括服务后端的加固和DNS地址列表生成的修复。然而，这些改进对遗留基础设施而言是有代价的。变更日志向坚持使用过时操作系统的管理员发出了严厉警告：“[注意：这将破坏OpenVPN与Windows 7的兼容性]”。此举使OpenVPN与更广泛的行业趋势保持一致，即终止对已停止支持的OS的支持，以确保更好的安全架构。

为了修复这些威胁，强烈建议管理员立即升级其部署。

• 对于2.7.x用户：漏洞已在版本2.7_rc2中修复。
• 对于2.6.x用户：HMAC漏洞已在版本2.6.16中修复。

除了这些补丁之外，新版本还修复了其他错误，包括“tls_pre_decrypt中无效指针创建/内存过读”，并改进了FreeBSD环境的调试消息。