Me estoy preparando para parchear mi servidor (Debian Wheezy), y va a ser complicado porque construí gran parte del mismo desde el código fuente (Apache 2.4, PHP, MySQL).
Antes de comenzar a aplicar parches, me gustaría comprender mejor qué servicios OpenSSL son vulnerables a la filtración. Obviamente los servicios HTTP/HTTPS son vulnerables. ¿Qué pasa con SMTP, IMAP y POP? SSH? O es esocualquier¿Debo tener en cuenta el servicio público que utiliza las versiones afectadas de OpenSSL?
Mi servidor también tiene IPMI/KVM (Supermicro) que uso para instalar mi sistema operativo. Es accesible a través de HTTP/HTTPS en la misma máquina, pero con una dirección IP diferente. Me pregunto si esto también es vulnerable. No estoy seguro de si el servidor web integrado de Supermicro utiliza OpenSSL. Si es así, puedo pedirle a mi proveedor de servidor que aplique cualquier parche de firmware.
Respuesta1
Obviamente los servicios HTTP/HTTPS son vulnerables.
Sólo lo último ;)
¿Qué pasa con SMTP, IMAP y POP?
Hayen líneaydesconectadopruebas para servidores de correo (y servidores web). Si está ejecutando Debian, existe una buena posibilidad de que su software haya sido compilado con una versión de openSSL < 1.0.1, que es cuando comienza la vulnerabilidad, por lo que si el binario se compiló estáticamente (ver más abajo), compruébelo primero de esta manera si No quiero molestarme en reconstruir.
SSH?
SSH no utiliza esa característica, por lo que no se vio afectado.
Tenga en cuenta que en Debian, simplemente reemplazar la biblioteca compartida no es suficiente, ya que por alguna razón, algunas cosas del servidor habilitado para openSSL parecen haber sido vinculadas estáticamente. Para comprobarlo, ejecute lddel binario. Si sabe que la aplicación usa SSL/TLS y no hay ningún enlace proporcionado a libssl o libgnutls, entonces se compiló. Si falla una de las pruebas de heartbleed, se debe reconstruir toda la aplicación.