Kritische Lücke legt OpenVPN-Server lahm
Wer einen OpenVPN-Server betreibt, sollte diesen umgehend auf den aktuellen Stand bringen. Durch eine Schwachstelle können Angreifer dessen Erreichbarkeit erheblich beeinträchtigen.
- Ronald Eikenberg
Die OpenVPN-Entwickler haben eine Schwachstelle in ihrem VPN-Server geschlossen (CVE-2014-8104), durch die böswillige Nutzer den Server lahm legen können (Denial of Service, DoS). Die Entwickler stufen die Lücke als kritisch ein. Schickt ein Client ein zu kurzes TLS-Paket des Typs P_CONTROL_V1 (Control Channel) an den Server, stürzt Letzterer ab. Damit die Denial-of-Service-Attacke funktioniert, muss der Client bereits über TLS authentifiziert sein. Bei VPN-Anbieter ist dies allerdings keine Hürde, da die Kunden Zugriff auf die hierzu nötigen Informationen haben.
Jetzt patchen
Entdeckt hat die Lücke Dragana Damjanovic, die sich daraufhin mit den Entwicklern in Verbindung setzte. Angriffe auf die Schwachstelle sind bisher nicht bekannt, das könnte sich aber bald ändern, da man die Details zur Lücke im Quellcode nachvollziehen kann. Betroffen sind alle Server-Versionen, die seit mindestens 2005 veröffentlicht wurden.
Abhilfe schafft ein Update auf Version 2.3.6 der Community Edition, die zudem diverse Bugs beseitigt. Die Entwickler haben den Patch auch in den Versionszweig 2.2.x übernommen, die abgesicherte Version heißt hier 2.2.3 und steht ausschließlich im Quelltext zum Download bereit. Außerdem gibt es ein Sicherheits-Update für den kommerziellen OpenVPN Access Server auf Version 2.0.11. (rei)
