Arethusa forum

Arethusa discussion forums.

You are not logged in.

Announcement

Login / password is independent from other sites. Registration is not required to post, but is required to post links.

#1 2014-04-10 21:07:20

Zero
Moderator

Heartbleed OpenSSL vulnerability

An extremely important vulnerability has been discovered in OpenSSL, a cryptography library. More information here: http://heartbleed.com/
Almost every Internet user is directly or indirectly impacted by this vulnerability.
The following information describes the impact on our services.


The vast majority of our servers (including all the web servers) run on a non-vulnerable OpenSSL version.

Some recent OpenVPN servers had a vulnerable version. We tried to exploit our own servers and failed, but, to stay on the safe side, we patched and restarted them.
These servers are:
DE (alias EUROPE)
DE-PP
FR (alias DEDI, alias FR-DEDI), also used for the premium v1 offer.
ES

All of this was done in the early hours of April 8th.

OpenVPN uses only basic parts of OpenSSL and is usually not affected by OpenSSL bugs.
However this time OpenVPN is vulnerable, at least in theory.
In practice, since OpenVPN has its own protocol and works differently, it requires a specific exploit. As far as we know, no such exploit has been written yet and no one knows what kind of information would be revealed.
Adding to the complexity, all of our affected servers have hardware-accelerated crypto and specific memory allocation settings.

In conclusion, we consider that no information was ever put at risk on our servers.


If your OpenVPN client is bundled with OpenSSL (Windows and MacOSX), you should also update your client.
The Windows OpenVPN that we distribute is old but not vulnerable, there is no need to update.

Offline

#2 2014-04-10 21:13:48

Zero
Moderator

Re: Heartbleed OpenSSL vulnerability

Version française:

Une vulnérabilité très importante a été découverte dans OpenSSL, une librairie de cryptographie. Plus d'informations ici: http://heartbleed.com/
Quasiment tout utilisateur d'Internet est directement ou indirectement impacté par cette vulnérabilité.
Les informations suivantes décrivent l'impact sur nos services.


La vaste majorité de nos serveurs (ce qui inclut tous les serveurs web) ont une version non vulnérable d'OpenSSL.

Quelques serveurs OpenVPN récents avaient une version vulnérable. Nous avons essayé d'exploiter nos propres serveurs et échoué, mais, par précaution, nous les avons patchés et redémarrés.
Ces serveurs sont:
DE (alias EUROPE)
DE-PP
FR (alias DEDI, alias FR-DEDI), aussi utilisé pour l'offre premium v1.
ES

Tout ceci a été effectué dans les premières heures du 8 avril.

OpenVPN n'utilise que des parties basiques d'OpenSSL et n'est habituellement pas impacté par les bugs OpenSSL.
Cependant cette fois OpenVPN est vulnérable, du moins en théorie.
En pratique, comme OpenVPN a son propre protocole et fonctionne différemment, il faut un exploit spécifique. Aux connaissances actuelles, cet exploit n'existe pas encore et personne ne sait quel genre d'informations seraient dévoilées.
Ceci est d'autant plus complexe que tous nos serveurs impactés ont une accélération matérielle de la crypto et des réglages spécifiques d'allocation mémoire.

En conclusion, nous considérons qu'aucune information n'a été mise en danger sur nos serveurs.


Si votre client OpenVPN est packagé avec OpenSSL (Windows et MacOSX), vous devriez aussi mettre à jour votre client.
La version Windows que nous distribuons est vieille mais pas vulnérable, il n'est pas nécessaire de mettre à jour.

Last edited by Zero (2014-04-11 15:52:38)

Offline

#3 2014-04-11 07:20:59

Anonymous
Anonymous

Re: Heartbleed OpenSSL vulnerability

For those using the latest OpenVPN version, there's a new 2.3.3 release: openvpn.net/index.php/open-source/downloads.html

#4 2014-04-25 17:50:03

Anonymous
Anonymous

Re: Heartbleed OpenSSL vulnerability

Bravo pour la réactivité ;)

#5 2014-05-01 09:40:49

Mecha76
User

Re: Heartbleed OpenSSL vulnerability

Bravo et je suis heureux de constater que nous ne sommes pas impactés!

Merci encore pour la qualité de vos services ^_^

Offline

Board footer

Powered by FluxBB