OpenVPN schließt Heartbleed-Sicherheitslücke auf Windows-Installationen
Wichtig ist das Update besonders für Windows-Nutzer, weil die üblichen Installationsarchive anfällige OpenSSL-Versionen enthalten können. Die übrigen Änderungen – Bugfixes und kleine Verbesserungen – nimmt man gern mit.
OpenVPN Technologies hat ein Update seiner gleichnamigen VPN-Software veröffentlicht, das unter anderem einige Windows-Versionen des Programms ersetzen soll, die sich kürzlich als unsicher herausgestellt haben. Die aktuelle Version 2.3.3 beseitigt einige Fehler und bringt kleinere Verbesserungen und Änderungen mit. Besonders wichtig für OpenVPN-Anwender auf Windows ist aber das Windows-Installationsarchiv, das eine aktualisierte Version der OpenVPN-GUI und enthält auch die OpenSSL-Bibliothek in Version 1.0.1g. Diese enthält einen Fix gegen den als Heartbleed bekannten OpenSSL-Bug.
Alle Nutzer der OpenVPN-Windows-Versionen ab 2.3-rc2-I001 bis 2.3.2-I003 sollten ihre Installationen dringend aktualisieren; diese Versionen sind gegen Attacken auf die Heartbleed-Sicherheitslücke anfällig. Um zu prüfen, welche OpenSSL-Version eine Windows-OpenVPN-Installation verwendet, öffnen Sie in einem Windows-Explorerfenster den Ordner C:\Program Files\OpenVPN\bin, klicken Sie mit der rechten Maustaste auf die Datei libeay32.dll und prüfen Sie im Bereich "Details/Product Version" die verwendete OpenSSL-Version.
OpenVPN Technologies meldet daneben, dass auch deren kommerzielles Produkt, der Access Server, von der Heartbleed-Sicherheitslücke betroffen ist. Alle Nutzer des Access Servers sollen umgehend die Firmware-Version 2.0.6 einspielen. (dz)