今週初めにアナウンスされた、OpenSSL等のSSLライブラリに見つかった脆弱性(Lucky Thirteen:CVE-2013-0169) のOpenVPNへの影響についてですが、OpenVPN Users MLへ「影響なし」とのの投稿がありました。OpenVPNがこの脆弱性の攻撃を受けた場合は、パケットが破棄されてトンネルネゴシエーションが再開されるか、そもそもその手前の段階でパケットが破棄される(–tls-authが有効な場合)ため、問題はないとのことです。そのメールの参考訳はこちらに掲載されていますので、興味のある方はご覧ください。
なお、この脆弱性への対応が加えられた最新のOpenSSL(1.0.1d)をOpenVPNと組み合わせて使用した場合にエラーが発生するという報告も出ていますが、この件については現在調査中とのことです。前述のとおり、今回の問題はOpenVPNには影響がないため、現時点で慌ててOpenSSLをアップデートする必要はなさそうです。
