自分としては、OpenVPNにはこの脆弱性はないと判断している。

OpenVPNのソースを調べてみたところ、脆弱性があるとされているメソッド（d2i_*_bioとd2i_*_fp）が呼ばれている箇所がいくつかある。これらのメソッドはssl.cの中で呼び出されているが、このメソッドに引数として渡されているデータはローカルのデータだ。

$ grep -Er '\bd2i_.*_(bio|fp)\b' .
./ssl.c:          p12 = d2i_PKCS12_bio(b64, NULL);
./ssl.c:          p12 = d2i_PKCS12_fp(fp, NULL);

たとえば、このOpenSSLメソッドにはPKCS12ファイルが渡されているが、このファイルはローカルファイルシステムにあるもので、攻撃元のクライアントやサーバーから攻撃用のファイルをOpenVPNやSSL/TLSプロトコルの相手先に送り込む方法はない。

また、この脆弱性に関するアドバイザリーの中でも「OpenSSLのSSL/TLSコードには脆弱性の影響はない（In particular the SSL/TLS code of OpenSSL is *not* affected）」という記載があり、OpenVPNのSSL/TLS機能にも影響はないと考えられる。

さらに、一般的にはOpenVPNの「tls-auth」オプションを使用することで、SSL/TLSプロトコルを直接攻撃するなどのOpenSSLの問題があっても防御できると思われる。