Назад | Перейти на главную страницу

Убедитесь, что OpenVPN больше не уязвим для Heartbleed

Как вы, возможно, знаете, OpenVPN уязвим для сердечного приступа. Тем не менее, я не могу найти в Интернете никакого руководства по тому, как это исправить. Единственный источник, который я нашел, это:

http://community.openvpn.net/openvpn/wiki/heartbleed

Просто делает (в Ubuntu)

apt-get update; apt-get upgrade; apt-get dist-upgrade

достаточно, чтобы убедиться, что мой OpenVPN безопасен? Я могу подтвердить, что у меня установлена ​​эта версия openSSL:

# dpkg-query -l 'openssl'
ii  openssl                                   1.0.1-4ubuntu5.12                         Secure Socket Layer (SSL) binary and related cryptographic tools

Спасибо

Пойдем по следу! Что значит openvpn использовать?

$ ldd $(which openvpn)
...
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f464d630000)

Хорошо, он использует libssl.1.0.0 предоставлено ...?

$ dpkg -S /lib/x86_64-linux-gnu/libssl.so.1.0.0
libssl1.0.0:amd64: /lib/x86_64-linux-gnu/libssl.so.1.0.0

... предоставлено libssl1.0.0:

$ apt-get changelog libssl1.0.0 | grep -B10 CVE-2014-0160

openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium

  * SECURITY UPDATE: side-channel attack on Montgomery ladder implementation
    - debian/patches/CVE-2014-0076.patch: add and use constant time swap in
      crypto/bn/bn.h, crypto/bn/bn_lib.c, crypto/ec/ec2_mult.c,
      util/libeay.num.
    - CVE-2014-0076
  * SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160

Мне нравится.

Или выполнить openssl version -a и убедитесь, что дата сборки - 7 апреля 2014 г. или более поздняя для уязвимых версий.