我正準備修補我的伺服器(Debian Wheezy),這將是一件痛苦的事情,因為我從原始碼(Apache 2.4、PHP、MySQL)建置了很多伺服器。
在開始修補之前,我想更了解哪些 OpenSSL 服務容易受到洩漏。顯然 HTTP/HTTPS 服務容易受到攻擊。 SMTP、IMAP 和 POP 怎麼樣? SSH?或者是任何我應該注意使用受影響的 OpenSSL 版本的面向公眾的服務嗎?
我的伺服器還有 IPMI/KVM (Supermicro),我用它來安裝作業系統。可以在同一台電腦上透過 HTTP/HTTPS 存取它,但使用不同的 IP 位址。我想知道這是否也很脆弱。我不確定內建的 Supermicro Web 伺服器是否使用 OpenSSL。如果是這樣,我可能會要求我的伺服器提供者套用任何韌體補丁。
答案1
顯然 HTTP/HTTPS 服務容易受到攻擊。
只有後者;)
SMTP、IMAP 和 POP 怎麼樣?
有在線的和離線測試郵件伺服器(和網路伺服器)。如果您運行的是debian,那麼您的軟體很有可能是使用openSSL < 1.0.1 的版本編譯的,這就是漏洞開始的時候,因此,如果二進位檔案是靜態編譯的(見下文),請首先以這種方式檢查它,如果您不想麻煩重建。
SSH?
SSH 不使用該功能,因此不受影響。
請注意,在 debian 上,僅僅替換共享庫是不夠的,因為無論出於何種原因,一些支援 openSSL 的伺服器似乎是靜態連結的。若要進行檢查,請執行ldd二進位檔案。如果您知道該應用程式使用 SSL/TLS 並且沒有提供 libssl 或 libgnutls 的鏈接,則該應用程式已被編譯。