Eine kritische Sicherheitslücke in OpenVPN Server wurde von den Entwicklern geschlossen. Die Lücke erlaubte auf recht einfache Weise, Rechner mit OpenVPN Server zum Absturz zu bringen.
Server 2.x vermutlich seit mindestens 2005 verwundbar, ohne dass Angriffe durch diese Lücke bekannt geworden sind. Möglicherweise reicht der Ursprung der Lücke auch noch weiter zurück. Mit
wurde die Lücke, die erst vor wenigen Tagen entdeckt wurde, für die Community-Version nun geschlossen. Mit dieser Version werden auch einige kleinere Fehler beseitigt sowie Anpassungen vorgenommen. So wurde etwa das Systemd-Servicefile für OpenVPN Server verbessert. Auch der Zweig 2.2 erhielt mit 2.2.3 eine korrigierte Version, die allerdings nur als Quellcode verfügbar ist. Die kommerzielle Version OpenVPN Access Server erhielt ebenfalls eine Aktualisierung auf
.
Die unter CVE-2014-8104 katalogisierte Verwundbarkeit erlaubt es einem bereits per TLS authentifizierten Client durch Übersenden eines zu kurzen TLS-Pakets vom Typ Control-Channel den Server zum Absturz zu bringen. Den Anwendern und Kunden wird zum kurzfristigen Update geraten, da die Lücke im Quellcode leicht nachzuvollziehen ist und somit nun nach Bekanntwerden mit der Ausnutzung von Servern mit nicht aktualisiertem Softwarestand gerechnet werden muss. Besonders betroffen sind VPN-Service-Provider, da dort die nötigen Zertifikate und TLS-Schlüssel für Kunden leicht zugänglich sind.
){kind=logo}
