Heartbleed: ¿se ven afectados otros servicios además de HTTPS?

tag-icon tag-icon security openssl heartbleed
Heartbleed: ¿se ven afectados otros servicios además de HTTPS?

La vulnerabilidad 'heartbleed' de OpenSSL (CVE-2014-0160) afecta a los servidores web que sirven HTTPS. Otros servicios también utilizan OpenSSL. ¿Son estos servicios también vulnerables a una filtración de datos similar a la del corazón?

Estoy pensando en particular en

  • sshd
  • SMTP, IMAP, etc. seguros: dovecot, exim y postfix
  • Servidores VPN: openvpn y amigos

todos los cuales, al menos en mis sistemas, están vinculados a las bibliotecas OpenSSL.

Respuesta1

Cualquier servicio que utilice OpenSSL para suTLSla implementación es potencialmente vulnerable; Esta es una debilidad en la biblioteca de criptografía subyacente, no en cómo se presenta a través de un servidor web o un paquete de servidor de correo electrónico. Debe considerar todos los servicios vinculados vulnerables a la fuga de datosal menos.

Como estoy seguro de que sabes, es muy posible encadenar ataques. Incluso en los ataques más simples es perfectamente posible, por ejemplo, usar Heartbleed para comprometer SSL, leer credenciales de correo web, usar credenciales de correo web para obtener acceso a otros sistemas con una rápida"Estimado servicio de asistencia técnica, ¿pueden darme una nueva contraseña para $foo, con cariño, CEO?".

Hay más información y enlaces enEl error del corazón, y en otra pregunta mantenida por un servidor regular de Falla,Heartbleed: ¿Qué es y cuáles son las opciones para mitigarlo?.

Respuesta2

Parece que tus claves ssh están seguras:

Vale la pena señalar que OpenSSH no se ve afectado por el error OpenSSL. Si bien OpenSSH usa openssl para algunas funciones de generación de claves, no usa el protocolo TLS (y en particular la extensión TLS heartbeat que ataca heartbleed). Por lo tanto, no hay necesidad de preocuparse de que SSH se vea comprometido, aunque sigue siendo una buena idea actualizar openssl a 1.0.1g o 1.0.2-beta2 (pero no tiene que preocuparse por reemplazar los pares de claves SSH). – dr jimbob hace 6 horas

Ver: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

Respuesta3

Además de la respuesta de @RobM, y dado que usted pregunta específicamente sobre SMTP: ya existe una prueba de concepto para explotar el error en SMTP:https://gist.github.com/takeshixx/10107280

Respuesta4

Cualquier cosa que se vincule libssl.sopuede verse afectada. Debe reiniciar cualquier servicio que se vincule con OpenSSL después de haber actualizado.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Cortesía de Anatol Pomozov deLista de correo de Arch Linux.

información relacionada