JPCERTなどでOpenSSLのTLS heartbeat extensionに関連した脆弱性について取り上げられてい
ます。
OpenVPNのセキュリティもOpenSSLに基づいているため、その影響が気になるところですが、OpenVPN Users MLにJames Yonanからのコメントがありました。
このOpenSSLの該当バージョン(1.0.1~1.0.1f、1.0.2-beta以降)のライブラリを使用していても、TLS-Authオプションを有効にしていればこの脆弱性による攻撃は受けないとのことです。このバージョンのOpenSSLを利用しており、かつもしTLS-Authが有効になっていない場合は、OpenSSLのアップグレードに加え、念のためサーバー/クライアントの鍵と証明書の再発行も検討してください。
TLS-Authを有効にしている場合でも、このバージョンのOpenSSLを使用している場合は早めの対応をお勧めします。
