SoftEther VPN Client（ソフトイーサ ブイピーエヌ クライアント）

Version 4.43 Build 9799 RTM

（2023/08/31）

• VPN Client に TunnelCrack 保護機能を実装しました。

Version 4.42 Build 9798 RTM

（2023/06/30）

• 米国 Cisco Systems, Inc. による高度なコードレビューと技術協力の結果、CVE-2023-27395 等の 6 件の脆弱性を修正しました。今回修正したいずれの脆弱性も、通常の使用方法と使用環境においては、不正侵入等のセキュリティ侵害に悪用されるリスクは比較的低く、実際の攻撃は容易ではありませんが、将来発見される可能性がある複数の脆弱性が組み合わさると攻撃に悪用される可能性もあるため、できるだけ、アップデートをお勧めします。
• OpenSSL のバージョンを 3.0.9 に更新しました。
• v3.04-7768-beta-2012.01.19 以前 (OpenSSL 0.9.8l を利用) の PacketiX VPN Server への接続 / PacketiX VPN Client からの接続ができない問題を解決しました。
• TLS 1.0 ～ 1.2 を有効にしている場合で、古いバージョンの SoftEther VPN Client / PacketiX VPN Client から RC4-MD5 で接続できない問題を解決しました。
• VPN Server の Caps と呼ばれる内部データ構造に対するマルチスレッド排他制御における CapsCacheLock のロックが不完全な場所があり、不整合が発生する可能性が存在していたので、これを解決しました。
• VPN Server の仮想 HUB の内部の IP アドレステーブルと呼ばれるデータ構造に対するマルチスレッドロックが不十分な箇所があり、稀にクラッシュが発生する問題を解決しました。
• VPN Server の HTTPS Web サーバーとしての挙動で、応答エラーメッセージ中から IP アドレスの表示を削除しました。
• オープンソース版 SoftEther VPN Server に、DoS 攻撃防御機能を実装しました。この機能は、製品版 PacketiX VPN Server にすでに実装されているものと同一です。
• メモリのヒープ領域保護を強化しました。メモリの解放および再確保が実施される際に、メモリの前後領域にカナリアと呼ばれるランダムなセキュリティ値を書き込み、その値が変更されていた場合、メモリ領域のバッファオーバーフローであるとみなしてプロセスを安全のために終了 (再起動) します。この機能は、将来本システムに何らかのヒープ領域オーバーフローの脆弱性が発見された場合でも、その脆弱性により、機密性または完全性が侵害されることを効果的に予防することが可能であると考えられます。
• 本プログラムが利用している OpenSSL ライブラリ内部で使用されている RW Lock (リーダライタロック) と呼ばれるロック取得機能は、OS (libc, pthread, カーネル) の提供するロック機能を呼び出しますが、最近の Linux ディストリビューションに含まれる pthread の RW Lock にはバグがあり、単一のサーバーで数千セッションを処理する際に、突然すべての CPU がスピンロック相互待機状態に陥り、CPU 時間を極めて長時間消費して、VPN 通信セッションの通信が困難になり、また VPN セッションがタイムアウトで切断されてしまう問題を生じさせていました。この問題は、OS 側の不具合であり、少なくとも Ubuntu 20.04 またはそれ以降の Linux ディストリビューションで、かつ x64 版でのみ発生しました。この問題は OS 側の問題で、解決することが困難であるため、この問題を回避するため、RW Lock を利用せず、代わりに通常の Mutex Lock のみを利用するように、ユーザーモードプログラム側の処理を書き換えました。これにより、本問題は回避されました。

Version 4.41 Build 9787 RTM

（2023/03/14）

• 本 RTM ビルドは、これまでにリリースされた Beta 版の変更点をすべて含んだ RTM ビルドです。
• X.509 証明書作成時のサーバー証明書のキー使用方法を限定しました。