Open Source im professionellen Einsatz

Open VPN behebt nach Audits Sicherheitsmängel

12.05.2017

Die neue Version 2.4.2 von Open VPN repariert die in gleich zwei Security-Audits gefundenen Sicherheitsmängel, darunter eine als kritisch eingestufte Sicherheitslücke. Neben Ostif hatte auch Private Internet Access die VPN-Software untersuchen lassen.

282

Der Ostif-Audit für Open VPN 2.4 wurde vor einigen Wochen abgeschlossen, die Ergebnisse an das Projekt geschickt. Nun präsentiert ein Blogpost die Fundstücke der Öffentlichkeit. Zeitgleich hat Open VPN eine neue Version 2.4.2 publiziert, die die gefundenen Sicherheitslücken behebt, in einigen Distributionen ist sie schon gelandet. Parallel untersuchte der Sicherheitsforscher Matthew Green die Software im Auftrag von Private Internet Access (Linux-Magazin berichtete), ohne schwerwiegende Fehler zu finden. Auch die Fundstücke schildern der Blogpost und der VPN-Anbieter selbst.

Am prominentesten sind zwei mögliche Denial-of-Service-Angriffe (CVE-2017-7478, CVE-2017-7479), die sich auf authentifizierte (medium) und nicht authentifizierte Nutzer (kritisch) anwenden lassen und den VPN-Client zum Absturz bringen. Im ersten Fall bringt ein Angreifer laut DFN Cert den Paket-ID-Zähler zum Überlaufen und bringt dann den Server dazu, viele Pakete (196 GByte) an einen Client zu schicken. Im zweiten Fall fügt er beim Drei-Wege-Handshake eine Payload in das "P_CONTROL"-Paket ein, der beim Server einen Ausnahmefehler auslöst.  

Auch kleinere Mängel haben die Entwickler repariert. So geht Polar SSL nun intelligenter mit X509-Zertifikaten um, Open VPN löscht zudem Benutzernamen und Passwörter nach dem Einsatz immer sauber. Die Dokumentation wurde verbessert und das Open-VPN-GUI beendet sich nun regelkonform.

Es gibt auch Gutes zu vermelden. So verwendet Open VPN mit Open SSL die "RAND_bytes()"-Funktion ausschließlich zur Entropie-Erzeugung und mit einer korrekten Fehlerbehandlung. Gleiches gilt für die Funktion "mbedtls_ctr_drbg_random()" der MbedTLS. Für nicht-kritische Zufallswerte verwende Open VPN zwar einen angepassten Algorithmus, der sei aber laut Ostif "kryptografisch gesund". Für verschiedene Distributionen (Ubuntu, Fedora, Debian außer Stretch) gibt es bereits Patches.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.