您可能知道,OpenVPN 容易受到心脏出血攻击。但是,我在网上找不到任何关于如何修复它的指南。我找到的唯一来源是:
http://community.openvpn.net/openvpn/wiki/heartbleed
正在做(在 Ubuntu 中)
apt-get 更新;apt-get 升级;apt-get dist-upgrade
足以确保我的 OpenVPN 是安全的吗?我可以确认我有这个版本的 openSSL:
# dpkg-query -l 'openssl'
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
谢谢
答案1
让我们追随这条线索吧!有什么openvpn
用呢?
$ ldd $(which openvpn)
...
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f464d630000)
好的,它正在使用libssl.1.0.0
由...提供的?
$ dpkg -S /lib/x86_64-linux-gnu/libssl.so.1.0.0
libssl1.0.0:amd64: /lib/x86_64-linux-gnu/libssl.so.1.0.0
... 由...提供libssl1.0.0
:
$ apt-get changelog libssl1.0.0 | grep -B10 CVE-2014-0160
openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium
* SECURITY UPDATE: side-channel attack on Montgomery ladder implementation
- debian/patches/CVE-2014-0076.patch: add and use constant time swap in
crypto/bn/bn.h, crypto/bn/bn_lib.c, crypto/ec/ec2_mult.c,
util/libeay.num.
- CVE-2014-0076
* SECURITY UPDATE: memory disclosure in TLS heartbeat extension
- debian/patches/CVE-2014-0160.patch: use correct lengths in
ssl/d1_both.c, ssl/t1_lib.c.
- CVE-2014-0160
在我看来很好。
答案2
或者执行openssl version -a
并确保受影响版本的构建日期为 2014 年 4 月 7 日或更晚。