Es wurde eine Schwachstelle in OpenSSL bis einschließlich Version 0.9.8i gemeldet. Es ist auf Grund einer unzureichenden Überprüfung des Rückgabewerts der Funktion EVP_VerifyFinal() möglich, dass ein SSL Client ein SSL Serverzertifikat akzeptiert, ohne das dieses eine gültige Signatur aufweist. Dieses Problem besteht nur bei DSA und ECDSA, nicht jedoch bei Zertifkaten mit RSA Signatur.

Da OpenVPN OpenSSL als Backend nutzt, ist davon auszugehen, dass dieser Fehler auch OpenVPN betrifft.

Es wird empfohlen, dass Benutzer, auf die letzte Version von OpenSSL (0.9.8j) upgraden oder den Patch für ihre Version einspielen.

Details zu dem Fehler sind hier zu finden: http://www.openssl.org/news/secadv_20090107.txt

Da das hier ein OpenVPN-Forum ist wäre ein Link zu einem Update/Patch für OpenVPN hilfreich ...

Michael

Hallo

Nach einen Blick in den OpenVPN und OpenSSL Source Code würde ich mal behaupten, dass OpenVPN nicht gepatcht werden muss. (nur meine Meinung!)

Das Update von OpenSSL hingegen ist trotzdem empfehlenswert.
Für Linux bekommst du das Update entweder über das Paketsystem deiner Distribution oder du musst die neue Version selbst kompilieren (oder den Source deiner alten Version patchen).
Für Windows entweder selbst kompilieren oder die DLLs aus einem vorkompilierten Binary Archiv nehmen. Im Prinzip sollte es reichen, die DLLs im OpenVPN Verzeichnis durch die neue Version zu ersetzen.
Ich konnte nur dieses OpenSSL-Binary-Paket hier finden. Natürlich kann weder ich selbst noch sonst wer Haftung für ein fremdes Binarypaket übernehmen...

Wann das nächste hochoffizielle Binarypaket von OpenVPN für Windows herauskommt, musst du die Entwickler fragen.