验证 OpenVPN 不再受到 Heartbleed 攻击

验证 OpenVPN 不再受到 Heartbleed 攻击

您可能知道,OpenVPN 容易受到心脏出血攻击。但是,我在网上找不到任何关于如何修复它的指南。我找到的唯一来源是:

http://community.openvpn.net/openvpn/wiki/heartbleed

正在做(在 Ubuntu 中)

apt-get 更新;apt-get 升级;apt-get dist-upgrade

足以确保我的 OpenVPN 是安全的吗?我可以确认我有这个版本的 openSSL:

# dpkg-query -l 'openssl'
ii  openssl                                   1.0.1-4ubuntu5.12                         Secure Socket Layer (SSL) binary and related cryptographic tools

谢谢

答案1

让我们追随这条线索吧!有什么openvpn用呢?

$ ldd $(which openvpn)
...
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f464d630000)

好的,它正在使用libssl.1.0.0由...提供的?

$ dpkg -S /lib/x86_64-linux-gnu/libssl.so.1.0.0
libssl1.0.0:amd64: /lib/x86_64-linux-gnu/libssl.so.1.0.0

... 由...提供libssl1.0.0

$ apt-get changelog libssl1.0.0 | grep -B10 CVE-2014-0160

openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium

  * SECURITY UPDATE: side-channel attack on Montgomery ladder implementation
    - debian/patches/CVE-2014-0076.patch: add and use constant time swap in
      crypto/bn/bn.h, crypto/bn/bn_lib.c, crypto/ec/ec2_mult.c,
      util/libeay.num.
    - CVE-2014-0076
  * SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160

在我看来很好。

答案2

或者执行openssl version -a并确保受影响版本的构建日期为 2014 年 4 月 7 日或更晚。

相关内容