Virtuelles Privates Netzwerk: OpenVPN 2.6.16 konzentriert sich auf Fehlerkorrekturen

Bei der nun veröffentlichten Version 2.6.16 haben sich die Entwickler von OpenVPN vornehmlich auf die Korrektur von Fehlern konzentriert. Neue Funktionen hat die Software zur Verschlüsselung von Netzwerkverbindungen nicht erhalten. Auch bestimmten neuen Verschlüsselungsarten erteilen die Entwickler eine Absage.

So wurden bei OpenVPN unter anderem Anpassungen an neue Verschlüsselungssuiten in der „encrypt-then-mac“-Komponente vorgenommen, die mit OpenSSL 3.6.0 eingeführt wurden. Diese erfordern laut den Entwicklern eine spezielle Implementierung, die derzeit jedoch nicht umgesetzt werden soll, da aktuell kein Anlass besteht, sie zu verwenden. Aus diesem Grund wird auch der t_lpback-Selbsttest fehlschlagen.

Darüber hinaus wurde ein Bug in der memcmp-Prüfung für die HMAC-Verifizierung im 3-Wege-Handshake behoben. Dieser sorgte für eine geringere Effizienz des HMAC-basierten Schutzes gegen State Exhaustion beim Empfang gefälschter TLS-Handshake-Pakete im OpenVPN-Server. Ebenso wurde ein Fehler in der Komponente tls_pre_decrypt() angegangen, durch den ein ungültiger Zeiger erzeugt werden und es zum Überlesen von Speicherinhalten kommen konnte. Laut den Release Notes wird dieser Fehler bereits bei der Kompilierung des Codes behoben, sodass keine Auswirkungen zu erwarten sind.

Darüber hinaus wurde in früheren Versionen bei eingehenden TCP-Verbindungen die Option „close-on-exec“ auf den falschen Socket-FD angewendet, wodurch Socket-FDs an untergeordnete Prozesse weitergegeben wurden. Auch dieses Problem wurde beseitigt. Außerdem sollen Authentifizierungs-Plugins und entsprechende Skripte nun ordnungsgemäß auf Fehler bei der Erstellung in $auth_failed_reason_file (arf) prüfen.

Auch bei der Nutzung von OpenVPN unter Windows haben die Entwickler zahlreiche Fehler entfernt: So wurde ein Problem bei „DNS-Konfiguration rückgängig machen“ im interaktiven Dienst korrigiert. In diesem wird künftig die Verwendung von „stdin“ für die Konfigurationsdatei untersagt. Eine Ausnahme bilden autorisierte OpenVPN-Administratoren. In derselben Komponente wurden außerdem sämtliche netsh-Aufrufe so geändert, dass sie den Schnittstellenindex statt des Schnittstellennamens verwenden. Diese Maßnahme soll eine Vielzahl möglicher Angriffswege über Sonderzeichen in Schnittstellennamen verhindern.

Ab sofort verfügbar

OpenVPN 2.6.16 steht ab sofort auf der Projektseite auf GitHub bereit. Alternativ kann die neue Version wie gewohnt bequem über den am Ende dieser Meldung angebrachten Link aus dem Download-Bereich von ComputerBase bezogen werden.