Seiten

Montag, 2. Februar 2015

OpenVPN-Server - Sicherheitslücke entdeckt

Derzeit empfehlen sowohl Fachmedien als auch renommierte IT-Sicherheitsexperten OpenVPN-Server "umgehend" auf den neuesten Stand zu bringen. Eine dort entdeckte Schwachstelle können Angreifer nutzen und die Server-Erreichbarkeit enorm beeinträchtigen.



Schwachstelle wurde behoben


Nach Bekanntwerden der als "kritisch" eingestuften Schwachstelle haben die Entwickler von OpenVPN reagiert und diese sofort geschlossen. Böswillige Nutzer können die Lücke nutzen und ein sogenanntes TLS-Paket vom Typ P_CONTROL_V1 an einen OVPN-Server senden, wodurch dieser abstürzt. Die dafür erforderliche TLS-Authentifizierung stellt im Allgemeinen kein Problem dar, da nahezu alle VPN-Provider ihren Kunden die dafür relevanten Informationen bereitstellen.

Welche Maßnahmen sind zu ergreifen?


Um sich vor potentiellen Angriffen zu schützen, ist ein Update auf Version 2.3.6 ("Community Edition") zwingend notwendig. Der in den Versionszweig 2.2.x übernommene Patch beseitigt zudem weitere Bugs. Darüber hinaus empfehlen die Entwickler die Installation des Sicherheits-Updates 2.0.11 für kommerzielle Access-Server. Wer sich anlässlich der aktuellen Entwicklungen für eine Alternative zu OpenVPN entscheidet, kann sich beispielsweise mit AnchorFree Hotspot Shield (kostenlos erhältlich) oder mit CyberGhots VPN beschäftigen. Beide Produkte sind hinsichtlich ihres Funktions- und Leistungsumfangs eine gute Wahl für derzeit noch Unentschlossene.
Unabhängig davon, ob die Entscheidung für oder gegen OpenVPN ausfällt, ist es wichtig, schnell zu handeln. Noch genießt die von Dragana Damjanovic entdeckte Schwachstelle einen vergleichsweise niedrigen Bekanntheitsgrad. Sobald sich dieser Status ändert, können Betreiber von OpenVPN täglich mit einem Angriff konfrontiert werden. Weitere Details lassen sich problemlos im Quellcode der Anwendung nachvollziehen und entsprechend nutzen. Im Rahmen der Analyse wurde festgestellt, dass alle seit dem Jahr 2005 veröffentlichten Server-Versionen von der kritischen Sicherheitslücke in vollem Umfang betroffen sind.

Professionelle Hilfe bei yourIT


Kontaktieren Sie uns wenn Sie Fragen und Realisierungsvorhaben zu einem Wechsel oder zum Sicherheits-Update selbst haben.

Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele