OpenSSL「heartbleed」漏洞(CVE-2014-0160) 影響服務 HTTPS 的網路伺服器。其他服務也使用 OpenSSL。這些服務是否也容易遭受類似心臟出血的資料外洩?
我特別想到
- sshd
- 安全 SMTP、IMAP 等——dovecot、exim 和 postfix
- VPN 伺服器——openvpn 和朋友
所有這些,至少在我的系統上,都連結到 OpenSSL 庫。
答案1
任何使用 OpenSSL 的服務傳輸層安全協定實施可能存在漏洞;這是底層密碼學庫的一個弱點,而不是它如何透過網頁伺服器或電子郵件伺服器套件呈現的弱點。您應該考慮所有連結服務都容易遭受資料洩露至少。
我相信您已經知道,將攻擊串聯在一起是很有可能的。即使在最簡單的攻擊中,也完全有可能使用 Heartbleed 來破壞 SSL、讀取 Web 郵件憑證、使用 Web 郵件憑證快速存取其他系統。“親愛的幫助台,你能給我一個 $foo 的新密碼嗎,親愛的 CEO”。
有更多資訊和鏈接心血蟲,並且在伺服器故障常規維護的另一個問題中,Heartbleed:它是什麼以及緩解它的選項是什麼?。
答案2
看起來你的 ssh 金鑰是安全的:
值得指出的是,OpenSSH 不受 OpenSSL bug 的影響。雖然 OpenSSH 確實使用 openssl 來實現某些金鑰產生功能,但它不使用 TLS 協定(特別是 heartbleed 攻擊的 TLS 心跳擴展)。因此無需擔心 SSH 被破壞,儘管將 openssl 更新到 1.0.1g 或 1.0.2-beta2 仍然是一個好主意(但您不必擔心更換 SSH 金鑰對)。 – jimbob 博士 6 小時前
答案3
除了@RobM 的回答之外,由於您具體詢問了 SMTP:已經有一個用於利用 SMTP 上的錯誤的 PoC:https://gist.github.com/takeshixx/10107280
答案4
任何與之連結的內容libssl.so都可能受到影響。升級後,您應該重新啟動與 OpenSSL 連結的所有服務。
# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0
阿納托爾·波莫佐夫提供Arch Linux 郵件列表。