Menü

CSRF-Lücke im OpenVPN Access Server geschlossen

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von

Das OpenVPN-Team hat eine Schwachstelle in seinem Access Server geschlossen, durch die sich ein Angreifer VPN-Accounts erschleichen kann. Das Sicherheitsloch klafft in der Access-Server-Version 1.8.4, vermutlich sind aber auch ältere betroffen. Die abgesicherte Version trägt die Nummer 1.8.5.

Bei der Lücke handelt es sich um Cross-Site-Request-Forgery (CSRF): Der Angreifer lockt den Admin dabei auf eine speziell präparierte Webseite, welche im Namen das Admins mit der Konfigurationsseite des Access Servers spricht. Ist der Admin authentfiziert, kann die Angriffsseite seine SItzung missbrauchen, um neue VPN-Accounts anzulegen. (rei)