Heartbleed: Sind andere Dienste als HTTPS betroffen?

tag-icon tag-icon security openssl heartbleed
Heartbleed: Sind andere Dienste als HTTPS betroffen?

Die OpenSSL-Sicherheitslücke „Heartbleed“ (CVE-2014-0160) betrifft Webserver, die HTTPS bereitstellen. Andere Dienste verwenden ebenfalls OpenSSL. Sind diese Dienste ebenfalls anfällig für Heartbleed-ähnliche Datenlecks?

Ich denke dabei insbesondere an

  • sshd
  • sicheres SMTP, IMAP usw. – Dovecot, Exim und Postfix
  • VPN-Server – OpenVPN und Freunde

Alle davon sind, zumindest auf meinen Systemen, mit den OpenSSL-Bibliotheken verknüpft.

Antwort1

Jeder Dienst, der OpenSSL für seineTLSImplementierung ist potenziell anfällig; dies ist eine Schwäche in der zugrunde liegenden Kryptografiebibliothek, nicht in der Art und Weise, wie sie über ein Webserver- oder E-Mail-Server-Paket präsentiert wird. Sie sollten alle verknüpften Dienste als anfällig für Datenlecks betrachtenmindestens.

Wie Sie sicher wissen, ist es durchaus möglich, Angriffe zu verketten. Selbst bei den einfachsten Angriffen ist es durchaus möglich, beispielsweise Heartbleed zu verwenden, um SSL zu kompromittieren, Webmail-Anmeldeinformationen zu lesen, Webmail-Anmeldeinformationen zu verwenden, um mit einem schnellen„Liebes Helpdesk, können Sie mir ein neues Passwort für $foo geben, alles Liebe CEO“.

Weitere Informationen und Links finden Sie inDer Heartbleed-Bug, und in einer anderen Frage, die von einem Server Fault-Stammteilnehmer gepflegt wird,Heartbleed: Was ist das und welche Möglichkeiten gibt es, es einzudämmen?.

Antwort2

Es scheint, dass Ihre SSH-Schlüssel sicher sind:

Es ist erwähnenswert, dass OpenSSH nicht vom OpenSSL-Bug betroffen ist. OpenSSH verwendet zwar OpenSSL für einige Schlüsselgenerierungsfunktionen, aber nicht das TLS-Protokoll (und insbesondere nicht die TLS-Heartbeat-Erweiterung, die Heartbleed angreift). Sie müssen sich also keine Sorgen machen, dass SSH kompromittiert wird, obwohl es trotzdem eine gute Idee ist, OpenSSL auf 1.0.1g oder 1.0.2-beta2 zu aktualisieren (Sie müssen sich jedoch keine Gedanken über das Ersetzen von SSH-Schlüsselpaaren machen). – dr jimbob vor 6 Stunden

Sehen: https://security.stackexchange.com/questions/55076/was-sollte-man-über-den-Heartbleed-OpenSSL-Exploit-tun?

Antwort3

Zusätzlich zur Antwort von @RobM und da Sie speziell nach SMTP fragen: Es gibt bereits einen PoC zum Ausnutzen des Fehlers bei SMTP:https://gist.github.com/takeshixx/10107280

Antwort4

Alle damit verknüpften Dienste libssl.sokönnen betroffen sein. Sie sollten nach dem Upgrade alle mit OpenSSL verknüpften Dienste neu starten.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Mit freundlicher Genehmigung von Anatol Pomozov vonArch Linux-Mailingliste.

verwandte Informationen