¿Las conexiones OVPN son vulnerables a Heart Bleed? [duplicar]

Navega tus respuestas
1

Esta puede ser una pregunta estúpida, pero lo preguntaré de todos modos. He estado leyendo bastante sobre la vulnerabilidad de Heart Bleed, y tengo curiosidad por saber si solo afecta a las aplicaciones web o si las conexiones OVPN aseguradas con certificados producidos con OpenSSL podrían verse afectadas.

He intentado escanear un servidor OVPN que sé que está protegido con certificados OpenSSL en el sitio web enlace , sin embargo recibo un error en lo que respecta a StartTLS. No tengo la capacidad de ejecutar el script de Python donde estoy, pero me pregunto si esta conexión podría ser vulnerable a este ataque.

    
pregunta DKNUCKLES 09.04.2014 - 16:23
fuente

2 respuestas

4

En resumen, OpenVPN que usa OpenSSL con errores se ve realmente afectado. Las versiones de OpenSSL anteriores a 1.0.1 y más nuevas que (e incluidas) 1.0.1g son seguras. Las versiones entre pueden estar a salvo iff si el proveedor aplicó un parche. Tenga en cuenta que hay otras bibliotecas SSL que se pueden usar con OpenVPN, a saber, PolarSSL.

Larga historia, OpenVPN a menudo usa UDP en lugar de TCP. Las herramientas públicas existentes se concentran principalmente en TLS sobre TCP. Así que solo por esa razón, no puedes simplemente ingresar tu servidor OpenVPN que se ejecuta en UDP en un sitio web aleatorio y esperar una respuesta sensata.

Segundo, OpenVPN usa su propio protocolo sobre TCP. TLS se ejecuta encima de ese protocolo. Al observar una captura de paquetes para OpenVPN (sobre UDP), puedo ver que la extensión Heartbeat está anunciada.

Si no ha actualizado su cliente OpenVPN ahora, ¡apúrese! Si administra el servidor OpenVPN y aún no considera actualizar sus bibliotecas OpenSSL, ¿ha estado durmiendo todo el día ?!

    
respondido por el Lekensteyn 09.04.2014 - 16:46
fuente
1

Solo para ser explícito, la única razón para revocar y volver a emitir un certificado SSL es si estaba ejecutando una versión reciente y afectada de OpenSSL que se usó en un servicio que exponía HeartBeating y teme que alguien podría haber explotado HeartBleed para adquirir su clave SSL privada. No hay un problema de seguridad fundamental con los certificados SSL emitidos con versiones vulnerables de OpenSSL.

Si estaba ejecutando una versión anterior de OpenSSL, entonces no tiene un problema.

Si estaba usando OpenSSL de una manera que no exponía HeartBeating, entonces no tiene un problema.

Si parcheaste y confías en que nadie intentó explotarte, o si lo hicieron, no obtuvieron las claves proverbiales del castillo, entonces es probable que no tengas ningún problema ... pero no hay manera de estar absolutamente seguro acerca de este. Es probable que estés bien, pero no hay una buena métrica por la cual podamos juzgar la exposición real.

    
respondido por el Jason 09.04.2014 - 17:51
fuente

Lea otras preguntas en las etiquetas

solicitud de sitio de banca en casa, ¿es posible para una pequeña agencia web? ¿Existen límites (o, ¿cuáles son los límites) a nuestra comprensión de la resistencia de AES a los ataques de texto plano conocidos?