OpenSSL 'heartbleed' 취약점(CVE-2014-0160)는 HTTPS를 제공하는 웹서버에 영향을 미칩니다. 다른 서비스도 OpenSSL을 사용합니다. 이러한 서비스도 가슴 아픈 데이터 유출에 취약합니까?
특히 생각하고 있어요
- SSHD
- 보안 SMTP, IMAP 등 -- 비둘기장, exim 및 postfix
- VPN 서버 - openvpn 및 친구들
적어도 내 시스템에서는 모두 OpenSSL 라이브러리에 연결되어 있습니다.
답변1
OpenSSL을 사용하는 모든 서비스TLS구현이 잠재적으로 취약합니다. 이는 웹 서버나 이메일 서버 패키지를 통해 표시되는 방식이 아니라 기본 암호화 라이브러리의 약점입니다. 연결된 모든 서비스는 데이터 유출에 취약하다는 점을 고려해야 합니다.적어도.
당신도 알고 있듯이 연쇄 공격이 가능합니다. 가장 간단한 공격에서도 Heartbleed를 사용하여 SSL을 손상시키고, 웹 메일 자격 증명을 읽고, 웹 메일 자격 증명을 사용하여 빠른 속도로 다른 시스템에 액세스하는 것이 완벽하게 가능합니다."헬프데스크 님, $foo의 새 비밀번호를 알려주실 수 있나요, CEO님?".
더 많은 정보와 링크가 있습니다하트블리드 버그, 그리고 Server Fault 정규 직원이 유지 관리하는 또 다른 질문에서는Heartbleed: Heartbleed란 무엇이며 이를 완화할 수 있는 옵션은 무엇입니까?.
답변2
SSH 키가 안전한 것 같습니다.
OpenSSH는 OpenSSL 버그의 영향을 받지 않는다는 점을 지적할 가치가 있습니다. OpenSSH는 일부 키 생성 기능에 openssl을 사용하지만 TLS 프로토콜(특히 heartbleed 공격을 수행하는 TLS 하트비트 확장)은 사용하지 않습니다. 따라서 SSH가 손상되는 것에 대해 걱정할 필요가 없습니다. 하지만 openssl을 1.0.1g 또는 1.0.2-beta2로 업데이트하는 것이 여전히 좋은 생각입니다(그러나 SSH 키 쌍 교체에 대해 걱정할 필요는 없습니다). – 짐밥 박사 6시간 전
답변3
@RobM의 답변 외에도 SMTP에 대해 구체적으로 질문했기 때문에 SMTP의 버그를 악용하기 위한 PoC가 이미 있습니다.https://gist.github.com/takeshixx/10107280
답변4
링크된 모든 항목이 libssl.so영향을 받을 수 있습니다. 업그레이드한 후 OpenSSL과 연결되는 모든 서비스를 다시 시작해야 합니다.
# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0
Anatol Pomozov 제공아치 리눅스 메일링 리스트.