04.07.2017 - OpenVPN Update-Empfehlung

Sicherheitslücke bei OpenVPN

In aller Kürze:


Was ist passiert?


Sicherheitsforscher haben Schwachstellen in OpenVPN entdeckt – fehlerbereinigte Versionen stehen bereit.

 

Was kann passieren?

Laut heise.de: „Angreifer sollen OpenVPN-Clients und -Server über die wunden Punkte lahmlegen können. In der Theorie soll auch die Ausführung von Schadcode aus der Ferne möglich sein“

 

Digicluster: Unsere LUCOM Server sind bereits abgesichert! Falls der Digicluster aber kundenseitig gehosted wird, könnte der Server gefährdet sein.

 

Router: Auch die OpenVPN-Version auf den Routern ist von der Schwachstelle betroffen. Eine neue Version wird es mit dem nächsten Firmware-Update geben. Nur Router, die auch als OpenVPN-Server eingesetzt werden, sind potentiell gefährdet. In der Regel werden die Router jedoch als OpenVPN-Client betrieben (wie auch beim Digicluster) und sind daher nicht betroffen.

 

Wie kann man sich schützen:


Wer OpenVPN einsetzt, sollte aus Sicherheitsgründen die fehlerbereinigten Versionen 2.3.17 oder 2.4.3 installieren. Für unsere Router wird es diese Versionen mit dem nächsten Firmware-Update geben.

 

Woher weiß ich, welche OpenVPN-Version ich auf dem Digicluster/Minicluster habe?


Führen Sie auf der Kommandozeile folgenden Befehl aus:


dpkg -l | grep openvpn

 

Die Schwachstelle wurde in den Versionen 2.3.17 bzw. 2.4.3 behoben. Je nach Linux-Distribution kann die Versionsnummer auch abweichen. Für Debian, welches bei unseren Produkten Verwendung findet, gelten folgende Version als sicher:


Debian jessie: 2.3.4-5+deb8u2
Debian stretch: 2.4.0-6+deb9u1

 

Falls sie noch eine ältere Version installiert haben, wird ein Update dringend empfohlen. Dies geht unter Debian mit folgenden drei Befehlen auf der Kommandozeile:

 

apt-get update
apt-get install openvpn
systemctl restart openvpn

 

Bitte überprüfen Sie die korrekte OpenVPN-Version nach dem Update erneut.

 

Tipp: Wenn Sie unseren Update-Service in Anspruch nehmen, werden Sie automatisch von uns auf den aktuellen Stand gebracht.

 

 

Quelle und mehr Informationen:

https://www.heise.de/security/meldung/Sicherheitsluecken-Angreifer-koennten-OpenVPN-crashen-3751852.html

 

Zurück