OpenSSLの「ハートブリード」脆弱性(脆弱性) は、HTTPS を提供する Web サーバーに影響します。他のサービスも OpenSSL を使用しています。これらのサービスも Heartbleed のようなデータ漏洩に対して脆弱ですか?
私が特に考えているのは
- sshd
- 安全な SMTP、IMAP など -- dovecot、exim、postfix
- VPN サーバー - openvpn とその仲間
少なくとも私のシステムでは、これらすべてが OpenSSL ライブラリにリンクされています。
答え1
OpenSSLを使用するサービスはTLS実装は潜在的に脆弱です。これは、Web サーバーや電子メール サーバー パッケージを介して提供される方法ではなく、基盤となる暗号化ライブラリの弱点です。リンクされたすべてのサービスはデータ漏洩に対して脆弱であると見なす必要があります。少なくとも。
ご存知のとおり、攻撃を連鎖させることは十分に可能です。最も単純な攻撃でも、例えばHeartbleedを使ってSSLを侵害し、ウェブメールの認証情報を読み取り、ウェブメールの認証情報を使って他のシステムへ素早くアクセスすることが可能です。「ヘルプデスク様、$foo の新しいパスワードを教えていただけますか、CEO より」。
詳しい情報とリンクはハートブリードバグまた、Server Faultの常連が管理する別の質問では、Heartbleed: それは何であり、それを軽減するための選択肢は何ですか?。
答え2
SSH キーは安全なようです:
OpenSSH は OpenSSL のバグの影響を受けないことを指摘しておく価値があります。OpenSSH は一部のキー生成機能に openssl を使用しますが、TLS プロトコル (特に、heartbleed が攻撃する TLS ハートビート拡張) は使用しません。したがって、SSH が侵害されることを心配する必要はありませんが、openssl を 1.0.1g または 1.0.2-beta2 に更新することは依然として良い考えです (ただし、SSH キーペアの置き換えについては心配する必要はありません)。 – dr jimbob 6 時間前
答え3
@RobM の回答に加えて、SMTP について具体的に質問しているので、SMTP のバグを悪用する PoC がすでに存在します。https://gist.github.com/takeshixx/10107280
答え4
リンクするものはすべてlibssl.so影響を受ける可能性があります。アップグレード後は、OpenSSL にリンクするすべてのサービスを再起動する必要があります。
# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0
アナトール・ポモゾフ提供Arch Linux メーリングリスト。