Connessioni VPN vulnerabili a Heartbleed? [duplicare]

Question

Connessioni VPN vulnerabili a Heartbleed? [duplicare]

#1 da (4 voti)
#2 da (1 voti)

1

Questa potrebbe essere una domanda stupida, ma lo chiederò comunque. Ho letto molto sulla vulnerabilità di Heart Bleed e sono curioso di sapere se riguardi solo le applicazioni Web o se le connessioni OVPN protette con certificati prodotti con OpenSSL possano essere potenzialmente interessate.

Ho tentato di eseguire la scansione di un server OVPN che conosco per essere protetto con i certificati OpenSSL nel sito web link , tuttavia ottengo un errore per quanto riguarda StartTLS. Non ho la possibilità di eseguire lo script Python dove sono, ma mi chiedo se questa connessione potrebbe essere vulnerabile a questo attacco.

heartbleed

posta DKNUCKLES 09.04.2014 - 16:23

fonte

2 risposte

Leggi altre domande sui tag heartbleed

Gmail, Google e privacy Reimpostazione delle password

score 4 · Answer 1

In breve, OpenVPN utilizza le versioni buggy OpenSSL in effetti interessate. Le versioni OpenSSL precedenti alla 1.0.1 e successive (e comprese) 1.0.1g sono sicure. Le versioni tra possono essere sicure iff il fornitore ha applicato una patch. Si noti che esistono altre librerie SSL che possono essere utilizzate con OpenVPN, ovvero PolarSSL.

Lunga storia, OpenVPN spesso usa UDP invece di TCP. Gli strumenti pubblici esistenti sono per lo più concentrati su TLS su TCP. Quindi, solo per questo motivo, non puoi semplicemente inserire il tuo server OpenVPN in esecuzione su UDP in un sito Web casuale e aspettarti una risposta sensata.

In secondo luogo, OpenVPN utilizza il proprio protocollo su TCP. TLS eseguito su tale protocollo. Guardando un pacchetto catturato per OpenVPN (su UDP), posso vedere che l'estensione di Heartbeat è pubblicizzata.

Se non hai aggiornato il tuo client OpenVPN ora, sbrigati! Se gestisci il server OpenVPN e non hai ancora considerato di aggiornare le tue librerie OpenSSL, hai dormito per un giorno intero?!

score 1 · Answer 2

Solo per essere espliciti, l'unica ragione per revocare e ri-emettere un certificato SSL è se stavi utilizzando una versione recente e interessata di OpenSSL che è stata utilizzata in un servizio che ha esposto HeartBeating e temere che qualcuno possa aver sfruttato HeartBleed per acquisire la chiave SSL privata. Non vi è alcun problema di sicurezza fondamentale con certificati SSL rilasciati con versioni vulnerabili di OpenSSL.

Se avevi una versione precedente di OpenSSL, allora non hai un problema.

Se stavi usando OpenSSL in modo tale da non esporre HeartBeating, allora non hai un problema.

Se hai patchato e sei sicuro che nessuno ha tentato di sfruttarti, o se l'hanno fatto non hanno preso le proverbiali chiavi del castello, allora probabilmente non hai un problema ... ma non c'è modo di essere assolutamente sicuro di questo. È probabile che tu stia bene, ma non esiste una buona metrica in base alla quale possiamo giudicare l'esposizione effettiva.