Erst im Mai wurde OpenVPN gleich zwei unabhängigen Code Audits unterzogen, deren Ziel es nicht zuletzt war kritische Fehler in der Software aufzuspüren. Nur wenige Wochen später demonstriert nun ein Sicherheitsforscher, dass man dabei – wenig überraschend – längst nicht alle schweren Bugs entdeckt hat.

Bugs

Vor gleich vier kritischen Lücken in OpenVPN warnt nun der Sicherheitsforscher Guido Vranken. Zumindest eine davon soll sich – zumindest theoretisch – auch dazu nutzen lassen, um Code auf einem VPN-Server einzuschmuggeln und zur Ausführung zu bringen. Die anderen Bugs können dafür verwendet werden, um sowohl VPN-Server als auch Clients lahmzulegen.

Testlauf

Vranken hat die Fehler in der zu diesem Zeitpunkt aktuellsten Version 2.4.2 mithilfe von Fuzzing aufgespürt. Dabei handelt es sich um eine Form von automatisierten Tests, bei denen Programme mit zufälligen Eingaben überhäuft werden, um zu sehen, wie sie darauf reagieren. Durch solche Tests lassen sich oft Sicherheitslücken aufspüren.

Update

Das OpenVPN-Projekt hat mittlerweile mit den neuen Versionen 2.3.17 und 2.4.3 reagiert, betroffenen User und Server-Administratoren sollten sobald wie möglich auf diese aktualisieren. (apo, 22.6.2017)