2026-1633: OpenVPN: Zwei Schwachstellen ermöglichen u. a. das Ausspähen von Informationen
Historie:
- Version 1 (2026-04-24 07:49)
- Neues Advisory
- Version 2 (2026-04-28 08:32)
- Für Fedora EPEL 10.1, 10.2 und 10.3 stehen neue Sicherheitsupdates in Form von 'openvpn-2.7.3-1'-Paketen im Status 'testing' bereit, um die beiden Schwachstellen zu beheben. Diese ersetzen die vorherigen Updates, welche in den Status 'obsolete' versetzt wurden (Referenz hier entfernt).
- Version 3 (2026-05-21 07:14)
- Für Ubuntu 22.04 LTS, 24.04 LTS, 25.10 und 26.04 LTS stehen Sicherheitsupdates für 'openvpn' bereit, um die beiden Schwachstellen zu beheben.
- Version 4 (2026-05-22 07:11)
- Für Debian 12 Bookworm (oldstable) steht Version 2.6.14-0+deb12u1 und für Debian 13 Trixie (stable) steht Version 2.6.14-1+deb13u2 von 'openvpn' bereit, um die beiden Schwachstellen zu beheben.
- Version 5 (2026-06-29 07:51)
- Für Debian 11 Bullseye (LTS) steht Version 2.5.1-3+deb11u3 von 'openvpn' bereit, um die beiden Schwachstellen zu beheben.
- Version 6 (2026-07-06 07:27)
- Mittels des Sicherheitsupdates DLA-4653-1 wurde eine Regression eingeführt, weshalb für Debian 11 Bullseye (LTS) jetzt Version 2.5.1-3+deb11u4 von 'openvpn' veröffentlicht wurde, um diese zu beheben. Weiterhin wurde festgestellt, dass durch die vorgenannte Schwachstellenbehebung eine Anfälligkeit für CVE-2026-12996 eingeführte. Die Schwachstelle, die ein Angreifer aus der Ferne ausnutzen kann, um beliebigen Programmcode auszuführen, wird mit dem neuen Paket ebenfalls adressiert.
Betroffene Software
Server
Sicherheit
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
Der Hersteller hat die OpenVPN Versionen 2.6.20 und 2.7.2 veröffentlicht, welche diese Schwachstellen beheben.
Für Fedora EPEL 10.1, 10.2 und 10.3 steht das Paket 'openvpn-2.7.2-1' im Status 'testing' bereit, um die beiden Schwachstellen zu beheben.
Für Fedora 42 und 43 steht das Paket 'openvpn-2.6.20-1' im Status 'testing' bereit, um die beiden Schwachstellen zu beheben.
Schwachstellen:
CVE-2026-35058
Schwachstelle in OpenVPN ermöglicht Denial-of-Service-AngriffCVE-2026-40215
Schwachstelle in OpenVPN ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.