2017-1713: OpenVPN: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-09-29 18:05)

Neues Advisory

Version 2 (2017-10-24 17:39)

Für SUSE Linux Enterprise Desktop 12 SP2 und 12 SP3, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2 sowie OpenStack Cloud 6 stehen Sicherheitsupdates bereit.

Version 3 (2017-10-30 13:10)

Zur Behebung der Schwachstelle stehen Sicherheitsupdates für openSUSE Leap 42.2 und openSUSE Leap 42.3 für OpenVPN bereit.

Version 4 (2017-12-04 11:46)

Für SUSE Linux Enterprise Server 11 SECURITY steht ein Sicherheitsupdate für 'openvpn-openssl1' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe eines speziell präparierten Pakets eine Schwachstelle in OpenVPN ausnutzen, um einen Stack-basierten Speicherüberlauf zu provozieren. Der Speicherüberlauf kann einen Denial-of-Service-Zustand durch den Absturz des Programms zur Folge haben oder möglicherweise weitere Schäden am System verursachen.

Der Hersteller veröffentlicht die Versionen 2.3.18 und 2.4.4 als Sicherheitsupdate zum Herunterladen (siehe Referenzen).

Für Fedora 25, 26 und 27 sowie Fedora EPEL 6 und 7 steht das Paket 'openvpn-2.4.4-1' als Sicherheitsupdate jeweils im Status 'pending' zur Verfügung, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2017-12166

Schwachstelle in OpenVPN ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.