Kritische Sicherheitslücke im OpenVPN-Treiber: Neue Alpha-Version behebt Schwachstelle unter Windows

Eine schwere Sicherheitslücke im Windows-Treiber von OpenVPN hat die Entwicklergemeinschaft auf den Plan gerufen. Die als CVE-2025-50054 registrierte Schwachstelle hätte es Angreifern ermöglichen können, Windows-Systeme gezielt zum Absturz zu bringen. Nun reagiert das OpenVPN-Projektteam mit einem wichtigen Update: Am 19. Juni 2025 wurde die Alpha-Version OpenVPN 2.7_alpha2 veröffentlicht.

Obwohl sich die neue Version noch in einem frühen Entwicklungsstadium befindet und nicht für den produktiven Einsatz gedacht ist, enthält sie bereits mehrere neue Funktionen sowie die Behebung der kritischen Sicherheitslücke. Besonders für Netzwerkadministratoren und IT-Sicherheitsverantwortliche ist dieses Update von Bedeutung – nicht zuletzt, weil die Schwachstelle in den aktuellen MSI-Installationspaketen für Windows bereits geschlossen wurde.

Der Vorfall verdeutlicht einmal mehr die Herausforderungen bei der Absicherung von VPN-Software, insbesondere auf weit verbreiteten Plattformen wie Windows. Eine Sicherheitslücke in diesem Bereich kann gravierende Auswirkungen auf Unternehmen wie auf Privatnutzer haben. Das OpenVPN-Team mahnt daher zur schnellen Aktualisierung – auch wenn es sich nur um eine Alpha-Version handelt.

Die Vorabversion 2.7_alpha2 von OpenVPN bringt eine Reihe technischer Neuerungen mit, die sowohl die Leistung als auch die Sicherheit der Software spürbar verbessern sollen. Besonders auf der Serverseite sorgt die neue Multi-Socket-Unterstützung für Aufsehen: Sie erlaubt es, mehrere Adressen, Ports und Protokolle innerhalb einer einzigen Instanz zu verarbeiten – ein klarer Vorteil für den Einsatz in größeren oder komplexeren Netzwerkinfrastrukturen.

Auch auf Client-Seite gibt es nennenswerte Fortschritte. So wurden die DNS-Funktionen erweitert: Windows-Nutzer profitieren nun von Split-DNS und DNSSEC, während unter Linux und BSD standardisierte Client-Implementierungen für mehr Stabilität und Kompatibilität sorgen.

Ein weiterer Schwerpunkt liegt auf der Windows-Architektur. Dort setzt OpenVPN nun auf dynamisch erzeugte Netzwerkadapter und führt den automatischen Dienst standardmäßig mit eingeschränkten Rechten aus. Diese Maßnahmen sollen das Sicherheitsniveau deutlich anheben, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

Architektonische Verbesserungen in der Alpha-Version

Das OpenVPN-Community-Projektteam ist stolz darauf, OpenVPN 2.7_alpha2 zu veröffentlichen. Dies ist die erste Alpha-Version für die Feature-Version 2.7.0. Wie der Name „Alpha” schon sagt, handelt es sich um eine frühe Version, die nicht für den produktiven Einsatz gedacht ist.

Die wichtigsten Neuerungen dieser Version sind:

Multi-Socket-Unterstützung für Server – Verarbeitung mehrerer Adressen/Ports/Protokolle innerhalb eines Servers

Verbesserte Client-Unterstützung für DNS-Optionen

• Client-Implementierungen für Linux/BSD, in der Standardinstallation enthalten
• Neue Client-Implementierung für Windows, mit Unterstützung für Funktionen wie Split-DNS und DNSSEC

Architektonische Verbesserungen unter Windows

• Das block-local Flag wird jetzt mit WFP-Filtern erzwungen
• Windows-Netzwerkadapter werden jetzt bei Bedarf generiert
• Der automatische Windows-Dienst läuft jetzt als nicht privilegierter Benutzer
• Unterstützung für den Servermodus im win-dco-Treiber
• Hinweis: Die Unterstützung für den wintun-Treiber wurde entfernt. win-dco ist jetzt die Standardeinstellung, tap-windows6 ist die Fallback-Lösung für Anwendungsfälle, die nicht von win-dco abgedeckt werden.

Verbesserter Datenkanal

• Durchsetzung der AES-GCM-Nutzungsbeschränkung
• Epoch-Datenschlüssel und Paketformat

Unterstützung für neues Upstream-DCO-Linux-Kernelmodul

• Diese Version unterstützt das neue ovpn DCO-Linux-Kernelmodul, das in zukünftigen Upstream-Linux-Kernel-Versionen verfügbar sein wird. Backports des neuen Moduls für aktuelle Kernel sind über das ovpn-backports-Projekt verfügbar.

TLS 1.3-Unterstützung mit den neuesten mbedTLS-Versionen

Weitere Informationen finden Sie unter v2.7_alpha2/Changes.rst und v2.7_alpha1/Changes.rst

Änderungen an Windows MSI seit 2.6.14:

• Beinhaltet eine Korrektur für CVE-2025-50054
• Erstellt mit OpenSSL 3.5.0
• Enthält openvpn-gui, aktualisiert auf 11.54.0.0
• Unterstützung für Webauth in PLAP (Pre-Logon Access Provider) über QR-Code (github openvpn-gui#687)
• Verbesserung der Lokalisierung für Französisch (fr) und Türkisch (tr) für die OpenVPN-GUI

Quelle: OPENVPN

---