Eine schwere Sicherheitslücke im Windows-Treiber von OpenVPN hat die Entwicklergemeinschaft auf den Plan gerufen. Die als CVE-2025-50054 registrierte Schwachstelle hätte es Angreifern ermöglichen können, Windows-Systeme gezielt zum Absturz zu bringen. Nun reagiert das OpenVPN-Projektteam mit einem wichtigen Update: Am 19. Juni 2025 wurde die Alpha-Version OpenVPN 2.7_alpha2 veröffentlicht.
Obwohl sich die neue Version noch in einem frühen Entwicklungsstadium befindet und nicht für den produktiven Einsatz gedacht ist, enthält sie bereits mehrere neue Funktionen sowie die Behebung der kritischen Sicherheitslücke. Besonders für Netzwerkadministratoren und IT-Sicherheitsverantwortliche ist dieses Update von Bedeutung – nicht zuletzt, weil die Schwachstelle in den aktuellen MSI-Installationspaketen für Windows bereits geschlossen wurde.
Der Vorfall verdeutlicht einmal mehr die Herausforderungen bei der Absicherung von VPN-Software, insbesondere auf weit verbreiteten Plattformen wie Windows. Eine Sicherheitslücke in diesem Bereich kann gravierende Auswirkungen auf Unternehmen wie auf Privatnutzer haben. Das OpenVPN-Team mahnt daher zur schnellen Aktualisierung – auch wenn es sich nur um eine Alpha-Version handelt.
Die Vorabversion 2.7_alpha2 von OpenVPN bringt eine Reihe technischer Neuerungen mit, die sowohl die Leistung als auch die Sicherheit der Software spürbar verbessern sollen. Besonders auf der Serverseite sorgt die neue Multi-Socket-Unterstützung für Aufsehen: Sie erlaubt es, mehrere Adressen, Ports und Protokolle innerhalb einer einzigen Instanz zu verarbeiten – ein klarer Vorteil für den Einsatz in größeren oder komplexeren Netzwerkinfrastrukturen.
Auch auf Client-Seite gibt es nennenswerte Fortschritte. So wurden die DNS-Funktionen erweitert: Windows-Nutzer profitieren nun von Split-DNS und DNSSEC, während unter Linux und BSD standardisierte Client-Implementierungen für mehr Stabilität und Kompatibilität sorgen.
Ein weiterer Schwerpunkt liegt auf der Windows-Architektur. Dort setzt OpenVPN nun auf dynamisch erzeugte Netzwerkadapter und führt den automatischen Dienst standardmäßig mit eingeschränkten Rechten aus. Diese Maßnahmen sollen das Sicherheitsniveau deutlich anheben, ohne die Benutzerfreundlichkeit zu beeinträchtigen.
Architektonische Verbesserungen in der Alpha-Version
Das OpenVPN-Community-Projektteam ist stolz darauf, OpenVPN 2.7_alpha2 zu veröffentlichen. Dies ist die erste Alpha-Version für die Feature-Version 2.7.0. Wie der Name „Alpha” schon sagt, handelt es sich um eine frühe Version, die nicht für den produktiven Einsatz gedacht ist.
Die wichtigsten Neuerungen dieser Version sind:
Multi-Socket-Unterstützung für Server – Verarbeitung mehrerer Adressen/Ports/Protokolle innerhalb eines Servers
Verbesserte Client-Unterstützung für DNS-Optionen
- Client-Implementierungen für Linux/BSD, in der Standardinstallation enthalten
- Neue Client-Implementierung für Windows, mit Unterstützung für Funktionen wie Split-DNS und DNSSEC
Architektonische Verbesserungen unter Windows
- Das
block-localFlag wird jetzt mit WFP-Filtern erzwungen - Windows-Netzwerkadapter werden jetzt bei Bedarf generiert
- Der automatische Windows-Dienst läuft jetzt als nicht privilegierter Benutzer
- Unterstützung für den Servermodus im win-dco-Treiber
- Hinweis: Die Unterstützung für den wintun-Treiber wurde entfernt. win-dco ist jetzt die Standardeinstellung, tap-windows6 ist die Fallback-Lösung für Anwendungsfälle, die nicht von win-dco abgedeckt werden.
Verbesserter Datenkanal
- Durchsetzung der AES-GCM-Nutzungsbeschränkung
- Epoch-Datenschlüssel und Paketformat
Unterstützung für neues Upstream-DCO-Linux-Kernelmodul
- Diese Version unterstützt das neue
ovpnDCO-Linux-Kernelmodul, das in zukünftigen Upstream-Linux-Kernel-Versionen verfügbar sein wird. Backports des neuen Moduls für aktuelle Kernel sind über das ovpn-backports-Projekt verfügbar.
TLS 1.3-Unterstützung mit den neuesten mbedTLS-Versionen
Weitere Informationen finden Sie unter v2.7_alpha2/Changes.rst und v2.7_alpha1/Changes.rst
Änderungen an Windows MSI seit 2.6.14:
- Beinhaltet eine Korrektur für CVE-2025-50054
- Erstellt mit OpenSSL 3.5.0
- Enthält openvpn-gui, aktualisiert auf 11.54.0.0
- Unterstützung für Webauth in PLAP (Pre-Logon Access Provider) über QR-Code (github openvpn-gui#687)
- Verbesserung der Lokalisierung für Französisch (fr) und Türkisch (tr) für die OpenVPN-GUI
Quelle: OPENVPN
Fachartikel
Unsicherer Systemstart: Sicherheitslücke in initramfs erlaubt Umgehung von Linux-Bootschutz
SAP Patch Day: Juli 2025
Zweifelhafte Datensätze im Dark Web: Warum Combolists und ULP-Dateien oft keine verlässlichen Hinweise auf Sicherheitsvorfälle liefern
Ransomware-Gruppe BERT attackiert Unternehmen in Asien und Europa auf breiter Front
Streamen Sie Red Sift-Telemetriedaten an Sentinel, Splunk und mehr mit Event Hub
Studien
WatchGuard Internet Security Report: Einzigartige Malware steigt um 171 Prozent – KI-Boom treibt Bedrohungen voran
Zwei Drittel der EU-Institutionen erfüllen grundlegende Cybersicherheitsstandards nicht
Splunk-Studie: Datenflut bedroht Sicherheit und bremst KI – Deutsche Unternehmen im Spannungsfeld von Informationsexplosion und Compliance
Neue CSC-Umfrage: Überwältigende Mehrheit der CISOs rechnet in den nächsten drei Jahren mit einem Anstieg der Cyberangriffe
Accenture-Studie: Unternehmen weltweit kaum gegen KI-basierte Cyberangriffe gewappnet
Whitepaper
ISACA veröffentlicht Leitfaden zu NIS2 und DORA: Orientierungshilfe für Europas Unternehmen
CISA und US-Partner warnen kritische Infrastrukturen vor möglichen Cyberangriffen aus dem Iran
Dating-Apps: Intime Einblicke mit Folgen
Europol-Bericht warnt vor KI-Vorurteilen in der Strafverfolgung – Leitfaden für verantwortungsvollen Technologieeinsatz veröffentlicht
