BR-Linux.org

Um pesquisador divulgou ter conseguido, usando a mesma falha Heartbleed anteriormente explorada em servidores web, extrair repetidamente a chave privada de um servidor OpenVPN, e até mesmo criar outro servidor que conseguia se passar pelo servidor original.

Existem vários produtos baseados no OpenVPN, e alguns deles estão em mais risco do que outros, porque incluem até mesmo a sua própria cópia dos fontes do OpenSSL, o software no qual o bug Heartbleed reside, e assim permanecem com o bug mesmo após upgrades do próprio OpenSSL.

Nos demais, o risco está associado a não ter havido o upgrade do OpenSSL que, agora sabemos na prática, precisa ser feito mesmo se não há um servidor web usando-o.

Como o OpenVPN é popular até mesmo em dispositivos embarcados que ficam esquecidos pelos cantos e não oferecem acesso web (https) em suas interfaces expostas, como roteadores da classe SOHO, a questão das chaves privadas poderem ser obtidas por meio dele me parece algo que vai ter que gerar nova onda de preocupação entre os profissionais do ramo, e até em quem não tem um servidor de VPN mas usa clientes VPN para acessar servidores que possam estar comprometidos. (via www.macobserver.com - “Heartbleed Update: OpenVPN isn't Safe, Either - The Mac Observer”)