Af Torben B. Sørensen, 22/06/17
For nylig blev kildekoden til OpenVPN gennemgået af eksperter, der ikke fandt større problemer med sikkerheden. Sikkerhedsforsker Guido Vranken har imidlertid fundet syv sikkerhedshuller.
Han anvender såkaldt fuzzing. Det går ud på, at programmet bliver udsat for en stor mængde input, som et fuzzer-program genererer. Det giver mulighed for at se, hvordan programmet reagerer i praksis på mange forskellige former for input.
Det alvorligste problem gør det muligt at få en OpenVPN-klient eller -server til at gå ned.
En anden sårbarhed gør det muligt at få fat i fortrolige data. Det kræver dog, at angriberen i forvejen er i gang med et man-in-the-middle-angreb.
Fejlene er rettet i OpenVPN 2.4.3 og 2.3.17.
Anbefaling
Opdater til en rettet version.
Links
- Vulnerabilities Fixed In OpenVPN 2.4.3
- The OpenVPN post-audit bug bonanza, Guido Vranken
- Researcher calls the fuzz on OpenVPN, uncovers crashy vulns, artikel fra The Register