OpenVPN: Vier kritische Lücken gefährden VPN-Nutzer

    22. Juni 2017, 17:15
    16 Postings

    Könnten teilweise zum Einschmuggeln von Schadcode genutzt werden

    Erst im Mai wurde OpenVPN gleich zwei unabhängigen Code Audits unterzogen, deren Ziel es nicht zuletzt war kritische Fehler in der Software aufzuspüren. Nur wenige Wochen später demonstriert nun ein Sicherheitsforscher, dass man dabei – wenig überraschend – längst nicht alle schweren Bugs entdeckt hat.

    Bugs

    Vor gleich vier kritischen Lücken in OpenVPN warnt nun der Sicherheitsforscher Guido Vranken. Zumindest eine davon soll sich – zumindest theoretisch – auch dazu nutzen lassen, um Code auf einem VPN-Server einzuschmuggeln und zur Ausführung zu bringen. Die anderen Bugs können dafür verwendet werden, um sowohl VPN-Server als auch Clients lahmzulegen.

    Testlauf

    Vranken hat die Fehler in der zu diesem Zeitpunkt aktuellsten Version 2.4.2 mithilfe von Fuzzing aufgespürt. Dabei handelt es sich um eine Form von automatisierten Tests, bei denen Programme mit zufälligen Eingaben überhäuft werden, um zu sehen, wie sie darauf reagieren. Durch solche Tests lassen sich oft Sicherheitslücken aufspüren.

    Update

    Das OpenVPN-Projekt hat mittlerweile mit den neuen Versionen 2.3.17 und 2.4.3 reagiert, betroffenen User und Server-Administratoren sollten sobald wie möglich auf diese aktualisieren. (apo, 22.6.2017)

    • Artikelbild
      grafik: openvpn
    Share if you care.