Heartbleed: затронуты ли другие услуги, кроме HTTPS?

65

Уязвимость OpenSSL «heartbleed» ( CVE-2014-0160 ) затрагивает веб-серверы, обслуживающие HTTPS. Другие сервисы также используют OpenSSL. Являются ли эти службы также уязвимыми для утечки данных, напоминающей сердечные приступы?

Я думаю, в частности, о

SSHD
безопасный SMTP, IMAP и т. д. - dovecot, exim & postfix
VPN-серверы - openvpn и друзья

все из которых, по крайней мере в моих системах, связаны с библиотеками OpenSSL.

security openssl heartbleed

— Flup
источник

Исправление для Ubuntu: apt-get update && apt-get install openssl libssl1.0.0 && service nginx restart; затем, переиздайте свои закрытые ключи

— Homer6

Используйте этот инструмент для обнаружения уязвимых хостов: github.com/titanous/heartbleeder

— Homer6

1

apt-get updateдолжно быть достаточно для Ubuntu сейчас без понижения, патч появился в главном репозитории вчера вечером.

— Джейсон С,

10

apt-get update НЕ достаточно. Обновление показывает только последние изменения, после обновления будет применено apt-get UPGRADE.

— Сякубовски

1

Я уверен, что это то, что имел в виду @JasonC, но +1 для ясности.

— Крейг,

40

Любой сервис, который использует OpenSSL для своей реализации TLS, потенциально уязвим; это слабость базовой библиотеки кирптографии, а не то, как она представлена через веб-сервер или сервер электронной почты. Вы должны рассмотреть все связанные сервисы как минимум уязвимые для утечки данных .

Как я уверен, вы знаете, что вполне возможно объединить атаки. Даже в самых простых атаках вполне возможно, например, использовать Heartbleed для взлома SSL, читать учетные данные веб-почты, использовать учетные данные веб-почты для быстрого доступа к другим системам с помощью «Уважаемая служба поддержки, можете ли вы дать мне новый пароль для $ foo, люблю генеральный директор " .

В журнале The Heartbleed Bug содержится дополнительная информация и ссылки , а в другом вопросе, который регулярно поддерживается с ошибкой сервера, Heartbleed: что это такое и какие есть варианты для его устранения? ,

— Роб Моир
источник

3

«это слабость в базовой системе, а не в том, как она представлена через систему более высокого уровня, такую как SSL / TLS» - нет, это неправильно. Это слабость в реализации расширения сердцебиения TLS. Если вы никогда не используете TLS, вы в безопасности. Тем не менее, я согласен с вашим выводом, что вы должны быть очень осторожны в анализе того, что может быть затронуто из-за цепных атак.

— Персеиды

6

@ Perseids вы правы, конечно, я пытался найти понятный способ сказать, что люди не защищены, потому что они используют эту версию веб-сервера X или версию SMTP-сервера Y. Я делаю правку надеюсь, это улучшит ситуацию, так что спасибо за указание на это.

— Роб Мойр,

35

Кажется, ваши ssh-ключи в безопасности:

Стоит отметить, что OpenSSH не подвержен ошибке OpenSSL. Хотя OpenSSH использует openssl для некоторых функций генерации ключей, он не использует протокол TLS (и, в частности, расширение пульса TLS, которое атакует с перебоями). Таким образом, нет необходимости беспокоиться о том, что SSH может быть скомпрометирован, хотя все еще неплохо обновить openssl до 1.0.1g или 1.0.2-beta2 (но вам не нужно беспокоиться о замене пар ключей SSH). - Доктор Джимбоб 6 часов назад

См .: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

— Simme
источник

Не влияет ли это косвенно, как заявлено @RobM? Кто-то читает пароль root из памяти, используя уязвимость Heartbleed, получает доступ к системе без SSH, а затем крадет SSH.

— Томас Веллер

1

Вы не можете прочитать ЛЮБЫЕ 64 КБ памяти с этой ошибкой, только 64 КБ рядом с местом хранения входящего пакета. К сожалению, там обычно хранится много вкусностей, таких как расшифрованные HTTP-запросы с незашифрованными паролями, личные ключи и изображения котят.

— Ларср

4

В дополнение к ответу @RobM, и поскольку вы спрашиваете конкретно о SMTP: уже есть PoC для использования ошибки на SMTP: https://gist.github.com/takeshixx/10107280

— Мартейн
источник

4

В частности, он использует соединение TLS, которое устанавливается после команды «starttls», если я правильно прочитал код.

— Персеиды

3

Да, эти сервисы могут быть скомпрометированы, если они полагаются на OpenSSL

OpenSSL используется для защиты, например, серверов электронной почты (протоколы SMTP, POP и IMAP), серверов чата (протокол XMPP), виртуальных частных сетей (SSL VPN), сетевых устройств и широкого спектра клиентского программного обеспечения.

Для более подробной информации об уязвимостях, уязвимых операционных системах и т. Д. Вы можете проверить http://heartbleed.com/

— Питер
источник

3

Все, что связано с, libssl.soможет быть затронуто. Вам следует перезапустить любой сервис, который связывается с OpenSSL после того, как вы обновитесь.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Предоставлено Анатолием Помозовым из списка рассылки Arch Linux .

— Nowaker
источник

2

Все, что связано с libssl и использует TLS. Openssh использует openssl, но не использует TLS, поэтому на него это не влияет.

— StasM

2

@StasM Вот почему я написал, может быть затронут , а не затронут . Кроме того, сервер OpenSSH НЕ связывается с OpenSSL вообще. Такие утилиты, как ssh-keygen, но не используются самим сервером OpenSSH . Что хорошо видно в выводе lsof, который я предоставил - OpenSSH там не указан, хотя он работает на сервере.

— Новакер

1

Другие услуги затронуты этим.

Для тех, кто использует HMailServer, начните читать здесь - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Всем и каждому нужно будет узнать у разработчиков всех пакетов программного обеспечения, чтобы узнать, нужны ли обновления.

— Тикер
источник