Uma falha de segurança no OpenVPN, software de VPN amplamente utilizado no mundo todo, foi corrigida na versão 2.6.14. A vulnerabilidade, identificada como CVE-2025-2704, afeta servidores configurados com a opção –tls-crypt-v2 nas versões entre 2.6.1 e 2.6.13. O erro permite que um atacante com uma chave válida de cliente tls-crypt-v2 — ou com acesso à comunicação da handshake — envie pacotes autenticados e malformados. Esses pacotes forçam uma falha via ASSERT(), levando o servidor a encerrar abruptamente sua execução.

Embora a falha não comprometa dados nem a integridade criptográfica, representa um sério risco de negação de serviço (DoS). Segundo a OpenVPN Inc., clientes não são afetados por esse problema. A vulnerabilidade foi descoberta internamente por meio de testes de qualidade, destacando a importância de auditorias e validações contínuas no ciclo de desenvolvimento. Para mitigar o problema, a versão 2.6.14 traz um patch que impede que pacotes malformados provoquem falhas, além de melhorias gerais — como aperfeiçoamentos no uso de IPs com –multihome e ajustes no instalador do Windows.

A nova versão foi construída com base no OpenSSL 3.4.1, garantindo compatibilidade com os padrões mais recentes de segurança. A OpenVPN recomenda que administradores atualizem seus servidores o quanto antes e, enquanto isso, desabilitem temporariamente o parâmetro –tls-crypt-v2 caso estejam usando versões anteriores.