내 서버(Debian Wheezy)를 패치할 준비를 하고 있는데 소스(Apache 2.4, PHP, MySQL)에서 많은 부분을 구축했기 때문에 고통스러울 것입니다.
패치를 시작하기 전에 어떤 OpenSSL 서비스가 누출에 취약한지 더 잘 이해하고 싶습니다. 분명히 HTTP/HTTPS 서비스는 취약합니다. SMTP, IMAP 및 POP는 어떻습니까? SSH? 아니면 그럴까요?어느영향을 받는 OpenSSL 버전을 사용하는 공개 서비스에 대해 알고 있어야 합니까?
내 서버에는 OS를 설치하는 데 사용하는 IPMI/KVM(Supermicro)도 있습니다. 동일한 시스템에서 HTTP/HTTPS를 통해 액세스할 수 있지만 IP 주소는 다릅니다. 이것도 취약한지 궁금합니다. 내장된 Supermicro 웹 서버가 OpenSSL을 사용하는지 잘 모르겠습니다. 그렇다면 서버 제공업체에 펌웨어 패치를 적용하도록 요청할 수 있습니다.
답변1
분명히 HTTP/HTTPS 서비스는 취약합니다.
나중에만;)
SMTP, IMAP 및 POP는 어떻습니까?
있다온라인그리고오프라인메일 서버(및 웹 서버)에 대해 테스트합니다. 데비안을 실행 중이라면 소프트웨어가 취약점이 시작되는 openSSL < 1.0.1 버전으로 컴파일되었을 가능성이 높습니다. 따라서 바이너리가 정적으로 컴파일된 경우(아래 참조) 먼저 이 방법으로 확인하세요. 재건축을 귀찮게하고 싶지 않습니다.
SSH?
SSH는 해당 기능을 사용하지 않으므로 영향을 받지 않습니다.
데비안에서는 단순히 공유 라이브러리를 교체하는 것만으로는 충분하지 않습니다. 어떤 이유로든 일부 openSSL 지원 서버 항목이 정적으로 링크된 것처럼 보이기 때문입니다. 확인하려면 ldd바이너리에서 실행하세요. 애플리케이션이 SSL/TLS를 사용하고 libssl 또는 libgnutls에 대한 링크가 제공되지 않는다는 것을 알고 있다면 애플리케이션이 컴파일된 것입니다. 하트블리드 테스트 중 하나가 실패하면 전체 앱을 다시 빌드해야 합니다.