Heartbleed: outros serviços além de HTTPS são afetados?

tag-icon tag-icon security openssl heartbleed
Heartbleed: outros serviços além de HTTPS são afetados?

A vulnerabilidade 'heartbleed' do OpenSSL (CVE-2014-0160) afeta servidores da web que atendem HTTPS. Outros serviços também usam OpenSSL. Esses serviços também são vulneráveis ​​ao vazamento de dados do tipo heartbleed?

Estou pensando especialmente em

  • sshd
  • SMTP seguro, IMAP etc - dovecot, exim e postfix
  • Servidores VPN – openvpn e amigos

todos os quais, pelo menos em meus sistemas, estão vinculados às bibliotecas OpenSSL.

Responder1

Qualquer serviço que use OpenSSL para seuTLSa implementação é potencialmente vulnerável; este é um ponto fraco na biblioteca de criptografia subjacente, não na forma como ela é apresentada por meio de um servidor web ou pacote de servidor de e-mail. Você deve considerar todos os serviços vinculados vulneráveis ​​ao vazamento de dadospelo menos.

Como tenho certeza que você sabe, é bem possível encadear ataques. Mesmo nos ataques mais simples é perfeitamente possível, por exemplo, usar Heartbleed para comprometer SSL, ler credenciais de webmail, usar credenciais de webmail para obter acesso a outros sistemas com uma rápida"Caro helpdesk, você pode me dar uma nova senha para $foo, amor CEO".

Há mais informações e links emO inseto Heartbleed, e em outra questão mantida por um Server Fault regular,Heartbleed: O que é e quais são as opções para mitigá-lo?.

Responder2

Parece que suas chaves SSH estão seguras:

Vale ressaltar que o OpenSSH não é afetado pelo bug do OpenSSL. Embora o OpenSSH use o openssl para algumas funções de geração de chaves, ele não usa o protocolo TLS (e em particular a extensão de pulsação TLS que ataca o heartbleed). Portanto, não há necessidade de se preocupar com o comprometimento do SSH, embora ainda seja uma boa ideia atualizar o openssl para 1.0.1g ou 1.0.2-beta2 (mas você não precisa se preocupar em substituir os pares de chaves SSH). – Dr. Jimbob 6 horas atrás

Ver: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

Responder3

Além da resposta do @RobM, e já que você pergunta especificamente sobre o SMTP: já existe um PoC para explorar o bug no SMTP:https://gist.github.com/takeshixx/10107280

Responder4

Qualquer coisa vinculada libssl.sopode ser afetada. Você deve reiniciar qualquer serviço vinculado ao OpenSSL após a atualização.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Cortesia de Anatol Pomozov deLista de discussão do Arch Linux.

informação relacionada