heise PlusAbo
Anzeige
Alert!

VPN-Lücken in HPE Aruba Networking Virtual Intranet Access Client geschlossen

Angreifer können mit HPE Aruba Networking Virtual Intranet Access Client erstellte VPN-Verbindungen aufknacken.

vorlesen Druckansicht
Stark verzerrtes Bild eines Fingers auf einer Tastatur, im Vordergrund ein digitales Ausrufezeichen

(Bild: janews/Shutterstock.com)

Lesezeit: 1 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Mit dem HPE Aruba Networking Virtual Intranet Access (VIA) Client unter iOS, Linux, macOS und Windows erstellte VPN-Verbindungen sind nicht sicher. Der Android-Client ist davon nicht betroffen. Für die anderen Systeme gibt es ein Sicherheitsupdate.

Tunnelvision-Schwachstelle

In einer Warnmeldung führen die Entwickler aus, dass der VIA-Client bis inklusive Version 4.7.0 verwundbar ist. Sie geben an, in der Ausgabe 4.7.2 zwei Sicherheitslücken (CVE-2024-3661 "hoch", CVE-2025-25041 "hoch") geschlossen zu haben.

Die erste Lücke ist unter dem Titel "Tunnelvision" schon seit 2024 bekannt. An dieser Stelle können entfernte Angreifer ohne Authentifizierung ansetzen und im Kontext des Netzwerkkonfigurationsservices des DHCP-Protokolls ansetzen, um VPN-Verbindungen aufzubrechen.

Videos by heise

Nutzen Angreifer die zweite Schwachstelle erfolgreich aus, können sie DoS-Zustände erzeugen. Für beide Lücken gibt es den HPE-Entwicklern zufolge noch keine Hinweise auf Attacken.

(des)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten