DFN-CERT

Advisory-Archiv

2026-1633: OpenVPN: Zwei Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2026-04-24 07:49)
Neues Advisory
Version 2 (2026-04-28 08:32)
Für Fedora EPEL 10.1, 10.2 und 10.3 stehen neue Sicherheitsupdates in Form von 'openvpn-2.7.3-1'-Paketen im Status 'testing' bereit, um die beiden Schwachstellen zu beheben. Diese ersetzen die vorherigen Updates, welche in den Status 'obsolete' versetzt wurden (Referenz hier entfernt).
Version 3 (2026-05-21 07:14)
Für Ubuntu 22.04 LTS, 24.04 LTS, 25.10 und 26.04 LTS stehen Sicherheitsupdates für 'openvpn' bereit, um die beiden Schwachstellen zu beheben.
Version 4 (2026-05-22 07:11)
Für Debian 12 Bookworm (oldstable) steht Version 2.6.14-0+deb12u1 und für Debian 13 Trixie (stable) steht Version 2.6.14-1+deb13u2 von 'openvpn' bereit, um die beiden Schwachstellen zu beheben.
Version 5 (2026-06-29 07:51)
Für Debian 11 Bullseye (LTS) steht Version 2.5.1-3+deb11u3 von 'openvpn' bereit, um die beiden Schwachstellen zu beheben.
Version 6 (2026-07-06 07:27)
Mittels des Sicherheitsupdates DLA-4653-1 wurde eine Regression eingeführt, weshalb für Debian 11 Bullseye (LTS) jetzt Version 2.5.1-3+deb11u4 von 'openvpn' veröffentlicht wurde, um diese zu beheben. Weiterhin wurde festgestellt, dass durch die vorgenannte Schwachstellenbehebung eine Anfälligkeit für CVE-2026-12996 eingeführte. Die Schwachstelle, die ein Angreifer aus der Ferne ausnutzen kann, um beliebigen Programmcode auszuführen, wird mit dem neuen Paket ebenfalls adressiert.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller hat die OpenVPN Versionen 2.6.20 und 2.7.2 veröffentlicht, welche diese Schwachstellen beheben.

Für Fedora EPEL 10.1, 10.2 und 10.3 steht das Paket 'openvpn-2.7.2-1' im Status 'testing' bereit, um die beiden Schwachstellen zu beheben.

Für Fedora 42 und 43 steht das Paket 'openvpn-2.6.20-1' im Status 'testing' bereit, um die beiden Schwachstellen zu beheben.

Schwachstellen:

CVE-2026-35058

Schwachstelle in OpenVPN ermöglicht Denial-of-Service-Angriff

CVE-2026-40215

Schwachstelle in OpenVPN ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.