OpenVPN schließt Heartbleed-Sicherheitslücke auf Windows-Installationen
Wichtig ist das Update besonders für Windows-Nutzer, weil die üblichen Installationsarchive anfällige OpenSSL-Versionen enthalten können. Die übrigen Änderungen – Bugfixes und kleine Verbesserungen – nimmt man gern mit.
OpenVPN Technologies hat ein Update seiner gleichnamigen VPN-Software veröffentlicht [7], das unter anderem einige Windows-Versionen des Programms ersetzen soll, die sich kürzlich als unsicher herausgestellt haben. Die aktuelle Version 2.3.3 beseitigt einige Fehler und bringt kleinere Verbesserungen und Änderungen mit. Besonders wichtig für OpenVPN-Anwender auf Windows ist aber das Windows-Installationsarchiv, das eine aktualisierte Version der OpenVPN-GUI und enthält auch die OpenSSL-Bibliothek in Version 1.0.1g. Diese enthält einen Fix gegen den als Heartbleed bekannten OpenSSL-Bug [8].
Alle Nutzer der OpenVPN-Windows-Versionen ab 2.3-rc2-I001 bis 2.3.2-I003 sollten ihre Installationen dringend aktualisieren; diese Versionen sind gegen Attacken auf die Heartbleed-Sicherheitslücke anfällig. Um zu prüfen, welche OpenSSL-Version eine Windows-OpenVPN-Installation verwendet, öffnen Sie in einem Windows-Explorerfenster den Ordner C:\Program Files\OpenVPN\bin, klicken Sie mit der rechten Maustaste auf die Datei libeay32.dll und prüfen Sie im Bereich "Details/Product Version" die verwendete OpenSSL-Version.
OpenVPN Technologies meldet daneben, dass auch deren kommerzielles Produkt, der Access Server, von der Heartbleed-Sicherheitslücke betroffen ist. Alle Nutzer des Access Servers sollen umgehend die Firmware-Version 2.0.6 einspielen. (dz [9])
URL dieses Artikels:
https://www.heise.de/-2167844
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/So-funktioniert-der-Heartbleed-Exploit-2168010.html
[2] https://www.heise.de/news/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
[3] https://www.heise.de/meinung/Passwoerter-in-Gefahr-was-nun-2167584.html
[4] https://www.heise.de/news/Heartbleed-Betroffene-stecken-Kopf-in-den-Sand-2188855.html
[5] https://www.heise.de/news/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
[6] http://www.heise.de/thema/Heartbleed
[7] http://openvpn.net/index.php/open-source/downloads.html
[8] https://www.heise.de/news/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
[9] mailto:dz@ct.de
Copyright © 2014 Heise Medien