Software-update - OpenVPN 2.6.17

zaterdag, 29 november 2025 (10:14) - Tweakers

In dit artikel:

OpenVPN heeft sinds versie 2.6.15 meerdere beveiligings-, compatibiliteits- en stabiliteitsverbeteringen doorgevoerd, met belangrijke updates in 2.6.16 en 2.6.17. De kernpunten:

- Beveiligingspatches: twee CVE's zijn aangepakt. CVE-2025-13086 lost een fout in de memcmp-controle van de HMAC tijdens de drie-weg TLS-handshake op, waardoor servers kwetsbaar waren voor state-exhaustion via vervalste handshake-pakketten. CVE-2025-13751 voorkomt een onbedoelde exit in de Windows interactieve service die lokaal misbruik kon leiden tot een denial-of-service.
- Windows-hardening: de interactieve service is robuuster gemaakt tegen race-conditions bij bestandsaccess en tegen ongeautoriseerde toegang via de service-pijp (ACL). Verder zijn meerdere Windows-specifieke verbeteringen doorgevoerd: voorkomen dat stdin gebruikt wordt voor configuratie tenzij de aanroeper OpenVPN-beheerder is, gebruik van interface-indexen in plaats van interface-namen bij netsh-oproepen, en verbeterde foutafhandeling bij zeldzame routes.
- Bibliotheken en compatibiliteit: de meegeleverde buildinstructies voor pkcs11-helper zijn geüpdatet naar versie 1.31 om een parserbug te verhelpen. Ook is er een compatibiliteitsaanpassing voor de nieuwe "encrypt-then-mac" cipher suites in OpenSSL 3.6.0: deze zijn momenteel uitgesloten omdat ze speciale afhandeling vereisen.
- Resource- en geheugenfouten: diverse bugfixes voorkomen socket-lekken (close-on-exec werd op het verkeerde fd gezet voor inkomende TCP-verbindingen), zetten de close-on-exec-vlag op netlink-sockets, en herstellen een onjuiste pointercreatie in tls_pre_decrypt (over-read). Ook is een ontbrekende perf_pop() in ssl_mbedtls hersteld.
- Overig: betere foutcontrole bij auth-plugins/scripthandling (arf-bestand), schoonmaak van verouderde URL's in documentatie en diverse compile-warnings opgelost.

Waarom dit belangrijk is: de patches dichten zowel directe veiligheidsproblemen als stabiliteits- en compatibiliteitsrisico's, met name op Windows en bij TLS-handshakes. Beheerders van OpenVPN-servers wordt aangeraden te upgraden naar de nieuwste 2.6.x-release om van deze fixes te profiteren.