Bug in OpenSSL 1.0.2

[Briolet]

OpenSSL heeft aangekondigd dat ze aanstaande donderdag een update voor OpenSSL gaan uitbrengen. (Zie security.nl)

Nu zag ik dat de 6.0 beta2 deze lekke versie gebruikt:

Code: [Selecteer]

OpenSSL> version
OpenSSL 1.0.2e-fips 3 Dec 2015

Ik ben benieuwd op Synology deze bug gaat patchen voor een beta versie. Bij een release versie doen ze dat vaak wel binnen 1 à 2 week.

Overigens werkt DSM 5.2 nog met de oudere OpenSSL versie die wel veilig is.

Code: [Selecteer]

OpenSSL> version
OpenSSL 1.0.1q-fips 3 Dec 2015


[Pippin]

Heb gisteren daarover een vraag gedeponeerd bij Synology en nog wat met betrekking tot OpenVPN.

Het is echter afhankelijk van hoe deze kwetsbaarheid uitwerkt op OpenVPN, als het gaat om updaten.
* Edit:
In het ergste geval zal OpenVPN betroffen zijn door de "Low severity bug".
*
Uit het antwoord dat ik vandaag kreeg lijkt het erop dat alleen op DSM 6, OpenVPN misschien een update krijgt.
Mijn verzoek was o.a. om OpenVPN te updaten naar 2.3.10 en de reeds meerdere malen verzochte uitbreidingen m.b.t. het instellen van OpenVPN, eventueel via een button "Geavanceerd" of "Expert". Maar ook de nog altijd aanwezige MITM kwetsbaarheid.

Heb zojuist maar weer gereageerd om dan ook 5.x te updaten maar heb er een zwaar hoofd in omdat er in de regel van mijn voorstellen niets uitkomt. De animo zal wel niet groot genoeg zijn.

[Pippin]

OpenVPN heeft reeds geupdatet maar was niet betroffen door deze bug.
https://openvpn.net/index.php/open-source/downloads.html