Как вы, возможно, знаете, OpenVPN уязвим для сердечного приступа. Тем не менее, я не могу найти в Интернете никакого руководства по тому, как это исправить. Единственный источник, который я нашел, это:
http://community.openvpn.net/openvpn/wiki/heartbleed
Просто делает (в Ubuntu)
apt-get update; apt-get upgrade; apt-get dist-upgrade
достаточно, чтобы убедиться, что мой OpenVPN безопасен? Я могу подтвердить, что у меня установлена эта версия openSSL:
# dpkg-query -l 'openssl'
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
Спасибо
Пойдем по следу! Что значит openvpn
использовать?
$ ldd $(which openvpn)
...
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f464d630000)
Хорошо, он использует libssl.1.0.0
предоставлено ...?
$ dpkg -S /lib/x86_64-linux-gnu/libssl.so.1.0.0
libssl1.0.0:amd64: /lib/x86_64-linux-gnu/libssl.so.1.0.0
... предоставлено libssl1.0.0
:
$ apt-get changelog libssl1.0.0 | grep -B10 CVE-2014-0160
openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium
* SECURITY UPDATE: side-channel attack on Montgomery ladder implementation
- debian/patches/CVE-2014-0076.patch: add and use constant time swap in
crypto/bn/bn.h, crypto/bn/bn_lib.c, crypto/ec/ec2_mult.c,
util/libeay.num.
- CVE-2014-0076
* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
- debian/patches/CVE-2014-0160.patch: use correct lengths in
ssl/d1_both.c, ssl/t1_lib.c.
- CVE-2014-0160
Мне нравится.
Или выполнить openssl version -a
и убедитесь, что дата сборки - 7 апреля 2014 г. или более поздняя для уязвимых версий.