Dies Bundesamt zu Gunsten von Sicherheit in dieser Informationstechnik (BSI) hat am 18.10.2023 vereinen Sicherheitshinweis zu Gunsten von OpenVPN veröffentlicht. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme MacOS X und Windows sowie dasjenige Produkt Open Source OpenVPN.

Die neuesten Hersteller-Empfehlungen in Bezug auf Updates, Workarounds und Sicherheitspatches zu Gunsten von sie Sicherheitslücke finden Sie hier: GitHub Security Advisory GHSA-64ff-hjjg-hwr8 (Stand: 17.10.2023).

Sicherheitshinweis zu Gunsten von OpenVPN – Risiko: mittel

Risikostufe: 4 (mittel)
CVSS Cousine Score: 5,3
CVSS Zeitlich Score: 4,6
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Fundament verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Zu Händen die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen zu Gunsten von vereinen Offensive (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von dieser Gefahrenlage. Dies Risiko dieser aktuellen Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 5,3 qua „mittel“ eingeschätzt.

OpenVPN Programmfehler: Schwachstelle ermöglicht Offenlegung von Informationen

OpenVPN ist eine Open Source Software zum Gliederung eines Virtuellen Privaten Netzwerkes (VPN) weiterführend eine verschlüsselte TLS-Verkettung. Zur Verschlüsselung werden die Bibliotheken des Programmes OpenSSL nicht frisch.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in OpenVPN ausnutzen, um Anmeldeinformationen offenzulegen.

Die Verwundbarkeit wird mit dieser eindeutigen CVE-Identifikationsnummer (Common Vulnerabilities and Exposures) CVE-2022-3761 gehandelt.

Von dieser OpenVPN-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
MacOS X, Windows

Produkte
Open Source OpenVPN Connect < 3.4.0.4506 (macOS) (cpe:/a:openvpn:openvpn)
Open Source OpenVPN Connect < 3.4.0.3100 (Windows) (cpe:/a:openvpn:openvpn)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

1. User dieser betroffenen Anwendungen sollten sie aufwärts dem aktuellsten Stand halten. Hersteller sind nebst Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Evolution eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie sie zeitnah.
2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Stück aufgeführten Quellen. Vielerorts enthalten sie weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich nebst weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dasjenige herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen weiterführend Programmfehler-Reports, Security-Fixes und Workarounds.

GitHub Security Advisory GHSA-64ff-hjjg-hwr8 vom 2023-10-17 (18.10.2023)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-64ff-hjjg-hwr8

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises zu Gunsten von OpenVPN. Unter Kundgabe von Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie unter Zuhilfenahme von dieser folgenden Versionshistorie wiederholen.

18.10.2023 – Initiale Halterung

+++ Redaktioneller Kennziffer: Dieser Text wurde aufwärts Fundament aktueller BSI-Datenansammlung KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon nebst Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
roj/news.de