OpenVPN leidet derzeit offenbar unter mehreren Schwachstellen. Vier davon sollen kritisch sein, wie Sicherheitsforscher Guido Vranken bei einer Analyse des Codes von OpenVPN herausgefunden haben will. Vorausgehende Überprüfungen hatten diese Lecks nicht zu tage gefördert. Vranken zeigt die Lecks in einem Blog zusammen mit Code-Beispielen.
Ein Leck lässt sich durch das Senden präparierter Daten an einen OpenVPN-Server ausnutzen. Der betroffene Server lässt sich somit zum Absturz zu bringen. Ein weiterer Fehler kann zu Speicherlecks bei der Verarbeitung von Zertifikaten führen. Angreifer könnten unter Umständen eine mehrfache Deallokation (Double-Free) bewirken.
OpenVPN wird aufgrund der stabilen Basis und Sicherheit geschätzt und wird daher auch gerne im Unternehmensumfeld eingesetzt, wenn eigene VPN-Server im Netzwerk aufgebaut werden. Beliebt machen die Open-Source-Lösung auch die geringen Ansprüche an die Hardware sowie die Unterstützung zahlreicher Clients. Neben Clients für Windows und Linux stehen auch Clients für die Anbindung von OS X, Solaris, OpenBSD, FreeBSD und NetBSD zur Verfügung. Die Konfiguration sicherer und stabiler VPN-Server mit OpenVPN ist jedoch relativ komplex.
Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.
Auch eine vorhergehende Härtung des OpenVPN-Codes, die im Namen des holländischen Geheimdienstes AIVD vorgenommen wurde, hatte die Schwachstellen nicht beseitigt. Entdecker Vranken kritisiert daher auch, dass beauftragte Code-Audits nicht immer der beste Weg seien, um Schwachstellen zu finden.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Guido Vranken hingegen hatte die Überprüfung freiwillig vorgenommen. Er verwendete dafür eine Technik, die als Fuzz Testing oder Fuzzing bekannt ist. Durch die Eingabe großer Mengen zufälliger Daten in ein System – mit dem Ziel, einen Absturz auszulösen – lassen sich Programmierfehler in Software, Betriebssystemen oder Netzwerken aufdecken. Tritt ein Fehler auf, kann ein Fuzz Tester oder Fuzzer genanntes Tool Hinweise auf die möglichen Ursachen liefern. Das Fuzzing wurde bereits 1989 an der University of Wisconsin-Madison entwickelt.
[mit Material von Bernd Kling, ZDNet.de]
Drei Bausteine bilden die Grundlage für eine KI-Governance: Dokumentation von KI-Projekten, Model Evaluation und Monitoring…
Eine Harmonisierung der Vorschriften für RIDP-Prozesse wird dazu beitragen, Angriffe künftig besser abwehren zu können,…
Die Übernahme der Metaal Kennis Groep soll den Zugang zur Metallindustrie verbessern. Im Fokus stehen…
EY hat Mitarbeitende in neun europäischen Ländern dazu befragt, wie stark KI ihren Arbeitsalltag verändert.
Kann die Privatwirtschaft mit DePINs – dezentralen, physischen Infrastrukturnetzwerken – erreichen, was Gaia-X bislang vergeblich…
Analyse zur Anfälligkeit von MFA auf Basis von 15.000 Push-basierten Angriffen. Größte Schwachstelle ist die…
