פורסם: 15/08/2014 - 17:31
נושא ההודעה: הצליחו לפרוץ את OpenVPN
|
אני מחפש פתרונות לחיבור VPN בין 2 מחשבים, וראיתי שהציעו כאן להשתמש בOpenVPN.
לתדהמתי, מצאתי את המאמר הבא, שאומר שOpenVPN כבר לא בטוח.
http://www.macobserver.com/tmo/article/heartbleed-update-openvpn-isnt-safe-either
האם יש אמת בדבר?
|
|
חזרה לתוכן הדיון |
פורסם: 15/08/2014 - 18:15
נושא ההודעה: Re: הצליחו לפרוץ את OpenVPN
|
לא מזמן היה באג אבטחה רציני שהשפיע על המון תוכנות תקשורת. הבאג נקרא Heartbleed והוא היה בספריה הנקראת OpenSSL. חפש בגוגל ותמצא הרבה הסברים לבאג (גם פה בפורום. אם ממש מעניין אותך באחד המגזינים האחרונים של Digital whisper כתבו על הבאג בפירוט).
בכל מקרה, OpenVPN מסתמכת על OpenSSL לכן כל הסיכונים שהתגלו בספריה זו תקפים גם לגבי OpenVPN. אבל הבאג הזה תוקן מיידית ורוב ההפצות הוציאו עדכוני אבטחה כמעט מייד לאחר החשיפה.
כל עוד אתה לא משתמש בגרסה ישנה של OpenVPN (או אם מדובר בהפצת לינוקס כלשהי, ספציפית Openssl צריך להיות מעודכן) - אין לך שום בעיה ואין שום סיבה לחשוש. אתה בטוח לחלוטין עד שייחשף הבאג הבא
(ליתר בטחון, הייתי ציני לגבי המשפט האחרון. אתה אף פעם לא באמת בטוח.)
|
|
חזרה לתוכן הדיון |
פורסם: 15/08/2014 - 18:16
נושא ההודעה: Re: הצליחו לפרוץ את OpenVPN
|
|
|
חזרה לתוכן הדיון |
פורסם: 15/08/2014 - 19:53
נושא ההודעה: Re: הצליחו לפרוץ את OpenVPN
|
Anonymous : |
לא מזמן היה באג אבטחה רציני שהשפיע על המון תוכנות תקשורת. הבאג נקרא Heartbleed והוא היה בספריה הנקראת OpenSSL. חפש בגוגל ותמצא הרבה הסברים לבאג (גם פה בפורום. אם ממש מעניין אותך באחד המגזינים האחרונים של Digital whisper כתבו על הבאג בפירוט).
בכל מקרה, OpenVPN מסתמכת על OpenSSL לכן כל הסיכונים שהתגלו בספריה זו תקפים גם לגבי OpenVPN. אבל הבאג הזה תוקן מיידית ורוב ההפצות הוציאו עדכוני אבטחה כמעט מייד לאחר החשיפה.
כל עוד אתה לא משתמש בגרסה ישנה של OpenVPN (או אם מדובר בהפצת לינוקס כלשהי, ספציפית Openssl צריך להיות מעודכן) - אין לך שום בעיה ואין שום סיבה לחשוש. אתה בטוח לחלוטין עד שייחשף הבאג הבא
(ליתר בטחון, הייתי ציני לגבי המשפט האחרון. אתה אף פעם לא באמת בטוח.) |
עם זאת, אם הגרסה של OpenSSL שאתה מסתמך עליה ישנה יותר מגרסה 1, (כלומר גרסאות 0.98 למיניהן), הבאג לא קיים בהן.
|
|
חזרה לתוכן הדיון |
פורסם: 15/08/2014 - 20:43
נושא ההודעה:
|
איך בודקים את הגירסא של OpenSSL?
הגירסא של OpenVPN היא 2.2.1
|
|
חזרה לתוכן הדיון |
פורסם: 15/08/2014 - 21:03
נושא ההודעה:
|
אייל ר : | איך בודקים את הגירסא של OpenSSL?
הגירסא של OpenVPN היא 2.2.1 |
תבדוק את גרסת החבילה של OpenSSL (אם לא מותקנות לך גרסאות שונות או בלאגן אחר)
|
|
חזרה לתוכן הדיון |
פורסם: 15/08/2014 - 22:50
נושא ההודעה:
|
איך בודקים את זה?
אני לא מוצא פקודה בשם openssl, למרות שמותקנת אצלי הפקודה openvpn.
|
|
חזרה לתוכן הדיון |
פורסם: 16/08/2014 - 01:04
נושא ההודעה:
|
אייל ר : | איך בודקים את זה?
אני לא מוצא פקודה בשם openssl, למרות שמותקנת אצלי הפקודה openvpn. |
בהפצות מבוססות דביאן אתה יכול לעשות:
קוד: | dpkg -l | grep libssl |
|
|
חזרה לתוכן הדיון |
פורסם: 16/08/2014 - 13:31
נושא ההודעה:
|
לא אמרת מה מערכת ההפעלה שלך. האם בכלל אתה משתמש בלינוקס? איזה הפצה?
|
|
חזרה לתוכן הדיון |
פורסם: 16/08/2014 - 14:00
נושא ההודעה:
|
אני משתמש בדביאן 7.
זה הפלט של הפקודה
קוד: |
# dpkg -l | grep libssl
ii libssl1.0.0:i386 1.0.1e-2+deb7u12 i386 SSL shared libraries
|
איך אני יכול לדעת אם אני מוגן?
|
|
חזרה לתוכן הדיון |
פורסם: 16/08/2014 - 14:59
נושא ההודעה:
|
אייל ר : | אני משתמש בדביאן 7.
זה הפלט של הפקודה
קוד: |
# dpkg -l | grep libssl
ii libssl1.0.0:i386 1.0.1e-2+deb7u12 i386 SSL shared libraries
|
איך אני יכול לדעת אם אני מוגן? |
זוהי גרסה חדשה יחסית (https://packages.qa.debian.org/o/openssl.html), לכן נראה שאתה מוגן...
|
|
חזרה לתוכן הדיון |
פורסם: 17/08/2014 - 14:06
נושא ההודעה:
|
כאן יש פרוט של הבאג עם רשימת הגרסאות שבהן הוא תוקן. להבנתי אתה צריך לשדרג את חבילת openssl שלך.
|
|
חזרה לתוכן הדיון |
פורסם: 18/08/2014 - 18:23
נושא ההודעה:
|
avishorp : | כאן יש פרוט של הבאג עם רשימת הגרסאות שבהן הוא תוקן. להבנתי אתה צריך לשדרג את חבילת openssl שלך. |
אז למה הוא צריך לשדרג? קוד: |
For the stable distribution (wheezy), this problem has been fixed in version 1.0.1e-2+deb7u5. |
|
|
חזרה לתוכן הדיון |
|