Schwachstellen in OpenVPN Access Server geschlossen

In der quelloffenen VPN-Software OpenVPN, dort im Speziellen dem OpenVPN Access Server, haben die Entwickler Sicherheitslücken entdeckt, die Angreifer etwa für die Verstärkung von DDoS-Angriffen hätten missbrauchen können. Die Version 2.11.0 der Software dichtet die Schwachstellen ab. Zu den Sicherheitslücken fehlen noch die Einstufungen des Schweregrads, ein zügiges Update ist Administratoren jedoch anzuraten.

Schwachstellen im Dreierpack

Im OpenVPN Access Server vor Version 2.11.0 kam ein schwacher Zufallszahlengenerator zum Einsatz, um Session-Token für die Nutzer des Webportals zu erstellen (CVE-2022-33738). Außerdem hat der Installer seit der Fassung 2.10.0 eine Protokolldatei erstellt, die für jeden lesbar war und das zufällig erstellte Administratorpasswort enthalten konnte (CVE-2022-33737).

Der Access Server 2.10 und ältere Versionen hätten zudem mehrere Pakete als Antwort auf ein Reset-Paket vom Client verschicken können. Der Client antwortet nicht auf diese Pakete, was zu einer begrenzten Amplification Attack, also einer DDoS-Verstärkung hätte führen können, bei der Angreifer mit wenigen Paketen große Datenmengen auf der Internetleitung provozieren, um ein Zielsystem faktisch aus dem Netz zu befördern (CVE-2021-4234).

Die Entwickler haben natürlich noch neue Funktionen und weitere Fehlerbehebungen ergänzt. Das OpenVPN-Projekt listet sie in den Releasenotes auf. So unterstützt die Software nun auch Ubuntu 22.04 LTS (Jammy Jellyfish), nutzt scrypt für lokale Passwort-Hashes und unterstützt Authentifizierung nach SAML-Standard.

Die aktualisierten Software-Pakete für unterschiedliche Distributionen stehen auf der Download-Seite von OpenVPN zum Herunterladen bereit. Administratoren sollten sie zügig einspielen, damit die Systeme nicht etwa ungewollt Teil von DDoS-Attacken werden.

Lesen Sie dazu auch:

OpenVPN-Server aufsetzen - so einfach geht's - heise online Tipps&Tricks

(dmk)