OpenVPN.eu
http://forum.openvpn.eu/

OpenSSL Zertifkatprüfung fehlerhaft (bis Version 0.9.8i)
http://forum.openvpn.eu/viewtopic.php?f=28&t=4909
Page 1 of 1

Author:  note [ 08.01.2009 12:12 ]
Post subject:  OpenSSL Zertifkatprüfung fehlerhaft (bis Version 0.9.8i)

Es wurde eine Schwachstelle in OpenSSL bis einschließlich Version 0.9.8i gemeldet. Es ist auf Grund einer unzureichenden Überprüfung des Rückgabewerts der Funktion EVP_VerifyFinal() möglich, dass ein SSL Client ein SSL Serverzertifikat akzeptiert, ohne das dieses eine gültige Signatur aufweist. Dieses Problem besteht nur bei DSA und ECDSA, nicht jedoch bei Zertifkaten mit RSA Signatur.

Da OpenVPN OpenSSL als Backend nutzt, ist davon auszugehen, dass dieser Fehler auch OpenVPN betrifft.

Es wird empfohlen, dass Benutzer, auf die letzte Version von OpenSSL (0.9.8j) upgraden oder den Patch für ihre Version einspielen.

Details zu dem Fehler sind hier zu finden: http://www.openssl.org/news/secadv_20090107.txt

Author:  gübert [ 12.01.2009 15:48 ]
Post subject:  Re: OpenSSL Zertifkatprüfung fehlerhaft (bis Version 0.9.8i)

Da das hier ein OpenVPN-Forum ist wäre ein Link zu einem Update/Patch für OpenVPN hilfreich ...

Michael

Author:  note [ 12.01.2009 19:16 ]
Post subject:  Re: OpenSSL Zertifkatprüfung fehlerhaft (bis Version 0.9.8i)

Hallo

Nach einen Blick in den OpenVPN und OpenSSL Source Code würde ich mal behaupten, dass OpenVPN nicht gepatcht werden muss. (nur meine Meinung!)

Das Update von OpenSSL hingegen ist trotzdem empfehlenswert.
Für Linux bekommst du das Update entweder über das Paketsystem deiner Distribution oder du musst die neue Version selbst kompilieren (oder den Source deiner alten Version patchen).
Für Windows entweder selbst kompilieren oder die DLLs aus einem vorkompilierten Binary Archiv nehmen. Im Prinzip sollte es reichen, die DLLs im OpenVPN Verzeichnis durch die neue Version zu ersetzen.
Ich konnte nur dieses OpenSSL-Binary-Paket hier finden. Natürlich kann weder ich selbst noch sonst wer Haftung für ein fremdes Binarypaket übernehmen...

Wann das nächste hochoffizielle Binarypaket von OpenVPN für Windows herauskommt, musst du die Entwickler fragen. :)

Page 1 of 1 All times are UTC
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/