Open Source im professionellen Einsatz

Denial-of-Service-Lücke in Open VPN

02.12.2014

Eine Denial-of-Service-Sicherheitslücke in Open VPN führt dazu, dass sich die Server über eine TLS-Verbindung zum Absturz bringen lassen.

116

Auf die Lücke weisen die Entwickler in ihrem Forum hin, entdeckt und gemeldet wurde sie kürzlich von Dragana Damjanovic. Meldet sich ein TLS-authentifizierter Client beim Open-VPN-Server an und sendet zu kurze Kontroll-Channel-Pakete an diesen, stürzt der Server ab.

Die Entwickler haben das Problem (CVE-2014-8104) aber nach eigenen Angaben bereits behoben, seit gestern 18:00 UTC steht eine reparierte Version 2.3.6 von Open VPN bereit. Es gibt zudem einen Backport auf die Open-VPN-Version 2.2, die Versionsnummer der gefixten Version lautet 2.2.3. Sie steht lediglich im Quellcode zur Verfügung.

Gefährdet seien insbesondere VPN Service Provider, weil alle Nutzer hier an Client-Zertifikate und TLS Authentifizierungs-Keys kommen. Eine Authentifizierung mit Username und Passwort schütze nicht gegen den Exploit.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.