Heartbleed: затронуты ли другие сервисы, помимо HTTPS?

tag-icon tag-icon security openssl heartbleed
Heartbleed: затронуты ли другие сервисы, помимо HTTPS?

Уязвимость OpenSSL «heartbleed» (CVE-2014-0160) влияет на веб-серверы, обслуживающие HTTPS. Другие сервисы также используют OpenSSL. Уязвимы ли эти сервисы также к утечке данных типа heartbleed?

Я имею в виду, в частности,

  • sshd
  • безопасный SMTP, IMAP и т. д. -- dovecot, exim и postfix
  • VPN-серверы — openvpn и друзья

все они, по крайней мере в моих системах, связаны с библиотеками OpenSSL.

решение1

Любая служба, которая использует OpenSSL для своейТЛСРеализация потенциально уязвима; это слабость базовой библиотеки криптографии, а не того, как она представлена ​​через веб-сервер или пакет сервера электронной почты. Вам следует считать все связанные сервисы уязвимыми к утечке данныхпо меньшей мере.

Как вы, несомненно, знаете, вполне возможно объединять атаки в цепочку. Даже в самых простых атаках вполне возможно, например, использовать Heartbleed для компрометации SSL, читать учетные данные веб-почты, использовать учетные данные веб-почты для получения доступа к другим системам с помощью быстрого«Уважаемая служба поддержки, можете ли вы дать мне новый пароль для $foo, love CEO».

Более подробную информацию и ссылки можно найти здесьЖук Heartbleed, и в другом вопросе, который поддерживает постоянный пользователь Server Fault,Heartbleed: что это такое и каковы варианты смягчения?.

решение2

Кажется, ваши ssh-ключи в безопасности:

Стоит отметить, что OpenSSH не подвержен багу OpenSSL. Хотя OpenSSH использует openssl для некоторых функций генерации ключей, он не использует протокол TLS (и в частности расширение TLS heartbeat, которое атакует heartbleed). Поэтому не нужно беспокоиться о том, что SSH будет скомпрометирован, хотя все равно будет хорошей идеей обновить openssl до 1.0.1g или 1.0.2-beta2 (но вам не нужно беспокоиться о замене пар ключей SSH). – dr jimbob 6 часов назад

Видеть: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

решение3

В дополнение к ответу @RobM, и поскольку вы спрашиваете конкретно о SMTP: уже есть PoC для эксплуатации ошибки в SMTP:https://gist.github.com/takeshixx/10107280

решение4

Все, что связано с OpenSSL, libssl.soможет быть затронуто. Вам следует перезапустить любую службу, связанную с OpenSSL, после обновления.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Предоставлено Анатолием Помозовым изСписок рассылки Arch Linux.

Связанный контент