SoftEther VPN Client（ソフトイーサ ブイピーエヌ クライアント）

Version 4.44 Build 9807 RTM

（2025/04/16）

• 本 RTM ビルドは、これまでにリリースされた Beta 版の変更点をすべて含んだ RTM ビルドです。
• (1) VPN Client に、信用できない可能性がある公衆無線 Wi-Fi を利用する際等の安全性を向上するためのセキュリティ機能である「TunnelCrack 保護機能」を実装しました。
• (2) VPN Server に OpenVPN の AEAD 暗号サポートを実装しました。
• (3) OpenVPN クライアントアプリ用の設定ファイル自動生成機能で、最近のバージョンの OpenVPN クライアントが対応している「data-ciphers」パラメータを埋め込むようにしました。
• (4) VPN Server の RADIUS クライアント機能にメッセージ認証機能を追加しました。
• (5) 多重ログイン数制限のポリシーの説明文字列からブリッジモードでは適用されないという旨の説明文字列を削除しました。
• (6) InRpcEnumLink RPC 関数で、存在しない項目 LinkHubName を HubName として読み取っていた問題を修正しました。
• (7) vpncmd コマンドライン管理ユーティリティにおけるアクセスリスト (パケットフィルタ) 機能のエントリ指定パラメータのうち、TCP パケットのステートの指定について、「Established」と「Unestablished」という指定文字列の解釈が逆になっていた問題を修正しました。
• (8) Amazon Web Services, Inc. (AWS) 社から、AWS の技術者である phillibert 氏を経由して SoftEther VPN Project に修正を依頼された次の現象について改善を行ないました。
• (9) VPN Server の仮想 HUB における DeleteIPv6DefaultRouterInRA 機能におけるパケットの処理において、物理的な通信手段 (VPN トンネルの外側) に IPv6 を利用しており、かつ、その VPN トンネルの内側においても IPv6 を利用しており、さらに、IPv6 ICMP RA パケットが伝送され、さらにそのパケットが異常な IPv6 パケットである場合に、ソースコード上、NULL 参照例外が発生する可能性があり、vpnserver プロセスがクラッシュする可能性があるコードの問題を修正しました。
• (10) vpncmd コマンドライン管理ユーティリティにおいて、コマンド入力画面で、数字を入力すべき場所において、管理者であるユーザー自らが大変長い文字列を入力した場合に、配列サイズを超えて文字列処理が行なわれ、vpncmd プログラムがクラッシュするバグを修正しました。
• (11) vpncmd コマンドライン管理ユーティリティにおいて、「Check」コマンド (ネットワーク機能が正しく動作しているかどうか、OS のソケット API を呼び出して試すコマンド) のマルチスレッド部分において、稀にクラッシュが発生する長年の問題を解決しました。

Version 4.43 Build 9799 RTM

（2023/08/31）

• VPN Client に TunnelCrack 保護機能を実装しました。

Version 4.42 Build 9798 RTM

（2023/06/30）

• 米国 Cisco Systems, Inc. による高度なコードレビューと技術協力の結果、CVE-2023-27395 等の 6 件の脆弱性を修正しました。今回修正したいずれの脆弱性も、通常の使用方法と使用環境においては、不正侵入等のセキュリティ侵害に悪用されるリスクは比較的低く、実際の攻撃は容易ではありませんが、将来発見される可能性がある複数の脆弱性が組み合わさると攻撃に悪用される可能性もあるため、できるだけ、アップデートをお勧めします。
• OpenSSL のバージョンを 3.0.9 に更新しました。
• v3.04-7768-beta-2012.01.19 以前 (OpenSSL 0.9.8l を利用) の PacketiX VPN Server への接続 / PacketiX VPN Client からの接続ができない問題を解決しました。
• TLS 1.0 ～ 1.2 を有効にしている場合で、古いバージョンの SoftEther VPN Client / PacketiX VPN Client から RC4-MD5 で接続できない問題を解決しました。
• VPN Server の Caps と呼ばれる内部データ構造に対するマルチスレッド排他制御における CapsCacheLock のロックが不完全な場所があり、不整合が発生する可能性が存在していたので、これを解決しました。
• VPN Server の仮想 HUB の内部の IP アドレステーブルと呼ばれるデータ構造に対するマルチスレッドロックが不十分な箇所があり、稀にクラッシュが発生する問題を解決しました。
• VPN Server の HTTPS Web サーバーとしての挙動で、応答エラーメッセージ中から IP アドレスの表示を削除しました。
• オープンソース版 SoftEther VPN Server に、DoS 攻撃防御機能を実装しました。この機能は、製品版 PacketiX VPN Server にすでに実装されているものと同一です。
• メモリのヒープ領域保護を強化しました。メモリの解放および再確保が実施される際に、メモリの前後領域にカナリアと呼ばれるランダムなセキュリティ値を書き込み、その値が変更されていた場合、メモリ領域のバッファオーバーフローであるとみなしてプロセスを安全のために終了 (再起動) します。この機能は、将来本システムに何らかのヒープ領域オーバーフローの脆弱性が発見された場合でも、その脆弱性により、機密性または完全性が侵害されることを効果的に予防することが可能であると考えられます。
• 本プログラムが利用している OpenSSL ライブラリ内部で使用されている RW Lock (リーダライタロック) と呼ばれるロック取得機能は、OS (libc, pthread, カーネル) の提供するロック機能を呼び出しますが、最近の Linux ディストリビューションに含まれる pthread の RW Lock にはバグがあり、単一のサーバーで数千セッションを処理する際に、突然すべての CPU がスピンロック相互待機状態に陥り、CPU 時間を極めて長時間消費して、VPN 通信セッションの通信が困難になり、また VPN セッションがタイムアウトで切断されてしまう問題を生じさせていました。この問題は、OS 側の不具合であり、少なくとも Ubuntu 20.04 またはそれ以降の Linux ディストリビューションで、かつ x64 版でのみ発生しました。この問題は OS 側の問題で、解決することが困難であるため、この問題を回避するため、RW Lock を利用せず、代わりに通常の Mutex Lock のみを利用するように、ユーザーモードプログラム側の処理を書き換えました。これにより、本問題は回避されました。