Sicherheitsmitteilung: Keine Betroffenheit durch CVE-2025-2704

Dekorative Grafik zeigt eine grau grüne Lupe welche auf ein rotes Ausrufezeichen zeigt

Nach sorgfältiger Prüfung können wir bestätigen, dass der Digicluster v3 nicht von der OpenVPN-Sicherheitslücke CVE-2025-2704 betroffen ist. Diese Schwachstelle betrifft ausschließlich OpenVPN-Server in den Versionen 2.6.1 bis 2.6.13, die mit der Option --tls-crypt-v2 betrieben werden. Unsere Softwareprodukte verwendet nicht die genannte TLS-Option. Ebenso sind unsere Mobilfunkrouter nicht betroffen, da diese in der Regel als OpenVPN-Clients und nicht als OpenVPN-Server eingesetzt werden.

Wir werden die Situation weiterhin beobachten und bei Bedarf weitere Informationen bereitstellen.

Wir haben unsere Produkte auf Schwachstellen überprüft. Nach unserem Wissensstand ist kein von LUCOM entwickeltes und/oder vertriebenes Produkt von der Sicherheitslücke betroffen. Dies gilt sowohl für Software als auch für Hardware. Sollten sich gegenteilige Erkenntnisse ergeben, werden wir Sie umgehend informieren.

Details zur Schwachstelle

Die Sicherheitslücke CVE-2025-2704 betrifft OpenVPN in den Versionen 2.6.1 bis 2.6.13, sofern der Server im TLS-crypt-v2-Modus betrieben wird. Ein entfernter Angreifer kann speziell manipulierte Pakete während der TLS-Handshake-Phase senden, um einen Denial-of-Service (DoS)-Zustand auszulösen. Dabei wird der Serverprozess durch eine ASSERT()-Anweisung beendet, was zu einem Absturz führt.

(CVE-2025-2704 – OpenVPN-Community, Denial of Service Vulnerability in OpenVPN (CVE-2025-2704) - Vulert, CVE-2025-2704 - OpenVPN 2.6.1 through 2.6.13 with possible DoS)

Technische Details:

  • Betroffene Versionen: OpenVPN 2.6.1 bis einschließlich 2.6.13
  • Nicht betroffen: OpenVPN-Clients sowie -Server, die nicht mit --tls-crypt-v2 konfiguriert sind
  • Angriffsvoraussetzungen:
    • Besitz eines gültigen TLS-crypt-v2-Clientschlüssels oder
    • die Fähigkeit, den Netzwerkverkehr mitzulesen und zu manipulieren.
  • Auswirkungen: Es erfolgt keine Kompromittierung der Verschlüsselung oder Datenintegrität; es handelt sich ausschließlich um eine DoS-Schwachstelle.


(CVE-2025-2704 – OpenVPN Community, Denial of Service Vulnerability in OpenVPN (CVE-2025-2704) - Vulert)

Schweregrad der Schwachstelle:

Die Schwachstelle wird nach dem CVSS v3.1 mit einem Basis-Score von 7.5 (hoch) eingestuft. Der Angriffsvektor (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) ist netzwerkbasiert (AV:V), erfordert keine Benutzerinteraktion (UN:N) und keine Authentifizierung (PR:N). Hauptauswirkung ist die Verfügbarkeitsstörung (A:H).

(CVE-2025-2704 Common Vulnerabilities and Exposures - SUSE, CVE-2025-2704 | Tenable®)

Empfohlene Maßnahmen zum Schutz

Update auf OpenVPN 2.6.14 oder höher, um die Schwachstelle zu beheben.

--tls-crypt-v2 deaktivieren: Falls ein sofortiges Update nicht möglich ist, sollte diese Option vorübergehend aus der Serverkonfiguration entfernt oder auskommenter werden.



Weitführende Informationen

 

Ausführliche technische Details zur Schwachstelle sowie Hinweise zur Absicherung finden sich in der Sicherheitsmeldung:

 

Es wird dringend empfohlen, betroffene Systeme zeitnah zu aktualisieren oder entsprechende Konfigurationsänderungen vorzunehmen, um die Verfügbarkeit Ihrer VPN-Dienste sicherzustellen.

Quelle: https://seclists.org/oss-sec/2025/q2/8?utm_source

 

Zusätzlich Sicherheitsinformationen finden Sie auch unter: https://github.com/advisories/GHSA-5gwv-2q72-gxrm

 

Zurück

Gerne helfen wir Ihnen per Livechat weiter. Wir verwenden einen Service eines Drittanbieters, um den Chat zu integrieren. Dieser Service kann Daten zu Ihren Aktivitäten sammeln. Bitte lesen Sie die Details durch und stimmen Sie der Nutzung des Service zu, um den Chat anzuzeigen.
Details in der Datenschutzerklärung.