Wie die Entwickler von OpenVPN in einem
Sicherheitseintrag bekannt gaben, hat sich eine Sicherheitslücke (CVE-2014-8104) in die Open-Source-Software geschlichen. Diese können Angreifer für DoS(Denial of Service)-Attacken ausnützen. Im Ernstfall lassen sich OpenVPN-Server damit komplett lahmlegen.
Dabei senden Angreifer über den Client ein zu kurzes TLS-Paket an den Server, der dadurch abstürzt. Laut den Entwicklern wurde die Schwachstelle bislang aber noch nicht ausgenutzt.
Dennoch sollten Nutzer umgehend auf die jeweils aktuelle Version von OpenVPN updaten, um Probleme auszuschließen. In folgenden Versionen wurde die Schwachstelle behoben:
Daneben haben die Entwickler auch einen Patch für die Versionsreihe 2.2 veröffentlicht, dieser trägt den Namen OpenVPN 2.2.3 und ist ausschließlich über den Quelltext des Tools zugänglich.