Heartbleed: các dịch vụ khác ngoài HTTPS có bị ảnh hưởng không?

65

Lỗ hổng 'Heartbleed' của OpenSSL ( CVE-2014-0160 ) ảnh hưởng đến máy chủ web phục vụ HTTPS. Các dịch vụ khác cũng sử dụng OpenSSL. Có phải các dịch vụ này cũng dễ bị rò rỉ dữ liệu giống như trái tim?

Tôi đang nghĩ riêng

sshd
bảo mật SMTP, IMAP, v.v. - dovecot, exim & postfix
Máy chủ VPN - openvpn và bạn bè

tất cả trong số đó, trên các hệ thống của tôi ít nhất, được liên kết với các thư viện OpenSSL.

security openssl heartbleed

— Flup
nguồn

Khắc phục sự cố cho Ubuntu: apt-get update && apt-get install openssl libssl1.0.0 && dịch vụ nginx restart; sau đó, cấp lại khóa riêng của bạn

— Homer6

Sử dụng công cụ này để phát hiện các máy chủ dễ bị tấn công: github.com/titanous/

— lovbleeder

1

apt-get updateBây giờ là đủ cho Ubuntu mà không cần hạ cấp, bản vá đã xuất hiện trong kho lưu trữ chính tối qua.

— Jason C

10

Cập nhật apt-get là KHÔNG đủ. Cập nhật chỉ hiển thị những thay đổi mới nhất, apt-get UPGRADE sẽ áp dụng sau đó sau khi cập nhật.

— sjakubowski

1

Tôi chắc chắn đó là ý nghĩa của @JasonC, nhưng +1 để làm cho nó rõ ràng rõ ràng.

— Craig

40

Bất kỳ dịch vụ nào sử dụng OpenSSL để triển khai TLS đều có khả năng bị tổn thương; đây là một điểm yếu trong thư viện điện tử cơ bản, không phải ở cách trình bày thông qua máy chủ web hoặc gói máy chủ email. Bạn nên xem xét tất cả các dịch vụ được liên kết dễ bị rò rỉ dữ liệu ít nhất .

Như tôi chắc chắn rằng bạn biết, hoàn toàn có thể xâu chuỗi các cuộc tấn công lại với nhau. Ví dụ, ngay cả trong các cuộc tấn công đơn giản nhất, hoàn toàn có thể sử dụng Heartbleed để thỏa hiệp SSL, đọc thông tin webmail, sử dụng thông tin đăng nhập webmail để có quyền truy cập vào các hệ thống khác với "Bộ phận trợ giúp thân mến, bạn có thể cho tôi mật khẩu mới với $ foo không, yêu CEO " .

Có nhiều thông tin và liên kết hơn trong Lỗi Heartbleed , và trong một câu hỏi khác được duy trì bởi Server Fault thường xuyên, Heartbleed: Nó là gì và các tùy chọn để giảm thiểu nó là gì? .

— Rob Moir
nguồn

3

"Đây là một điểm yếu trong hệ thống cơ bản, không phải ở cách nó được trình bày thông qua hệ thống cấp cao hơn như SSL / TLS" - Không, điều đó là sai. Đó là một điểm yếu trong việc thực hiện mở rộng nhịp tim TLS. Nếu bạn không bao giờ sử dụng TLS, bạn an toàn. Tuy nhiên, tôi đồng ý với kết luận của bạn rằng bạn phải rất cẩn thận trong phân tích về những gì có thể bị ảnh hưởng vì các cuộc tấn công bị xiềng xích.

— Perseids

6

@Perseids bạn đúng, tất nhiên, tôi đã cố gắng tìm một cách dễ hiểu để nói rằng mọi người không an toàn vì họ đang chạy phiên bản máy chủ web X này hoặc phiên bản máy chủ SMTP Y. Tôi đang thực hiện chỉnh sửa hy vọng sẽ cải thiện mọi thứ, vì vậy cảm ơn bạn đã chỉ ra điều đó.

— Rob Moir

35

Có vẻ như khóa ssh của bạn an toàn:

Thật đáng để chỉ ra rằng OpenSSH không bị ảnh hưởng bởi lỗi OpenSSL. Mặc dù OpenSSH không sử dụng openssl cho một số chức năng tạo khóa, nhưng nó không sử dụng giao thức TLS (và đặc biệt là phần mở rộng nhịp tim TLS gây ra các cuộc tấn công đau lòng). Vì vậy, không cần phải lo lắng về việc SSH bị xâm nhập, mặc dù vậy vẫn là một ý tưởng tốt để cập nhật openssl lên 1.0.1g hoặc 1.0.2-beta2 (nhưng bạn không phải lo lắng về việc thay thế khóa bàn phím SSH). - dr jimbob 6 giờ trước

Xem: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-lovebleed-openssl-Exloit

— simme
nguồn

Không phải nó bị ảnh hưởng gián tiếp như đã nêu bởi @RobM sao? Ai đó đọc mật khẩu của root từ bộ nhớ bằng cách sử dụng lỗ hổng Heartbleed, nhận bất kỳ quyền truy cập không phải SSH nào vào hệ thống và sau đó đánh cắp nội dung SSH.

— Thomas Weller

1

Bạn không thể đọc BẤT K 64 64k bộ nhớ với lỗi này, chỉ 64k gần nơi lưu trữ gói đến. Thật không may, rất nhiều quà tặng có xu hướng được lưu trữ ở đó, chẳng hạn như các yêu cầu HTTP được giải mã bằng mật khẩu văn bản gốc, khóa riêng và hình ảnh của mèo con.

— larsr

4

Ngoài câu trả lời của @RobM và vì bạn hỏi cụ thể về SMTP: đã có PoC để khai thác lỗi trên SMTP: https://gist.github.com/takeshixx/10107280

— Martijn
nguồn

4

Cụ thể, nó khai thác kết nối TLS được thiết lập sau lệnh "starttls", nếu tôi đọc mã chính xác.

— Perseids

3

Có, các dịch vụ đó có thể bị xâm phạm nếu chúng dựa vào OpenSSL

OpenSSL được sử dụng để bảo vệ các máy chủ email ví dụ (giao thức SMTP, POP và IMAP), máy chủ trò chuyện (giao thức XMPP), mạng riêng ảo (SSL VPN), thiết bị mạng và nhiều phần mềm phía máy khách.

Để viết chi tiết hơn về các lỗ hổng bảo mật, các hệ điều hành bị ảnh hưởng, v.v. bạn có thể kiểm tra http://lovebleed.com/

— Peter
nguồn

3

Bất cứ điều gì liên kết với libssl.socó thể bị ảnh hưởng. Bạn nên khởi động lại bất kỳ dịch vụ nào liên kết với OpenSSL sau khi bạn đã nâng cấp.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Được phép của Anatol Pomozov từ danh sách gửi thư của Arch Linux .

— Nhà sản xuất
nguồn

2

Bất cứ điều gì liên kết với libssl và sử dụng TLS. Openssh sử dụng openssl nhưng không sử dụng TLS, vì vậy nó không bị ảnh hưởng.

— StasM

2

@StasM Đó là lý do tại sao tôi viết có thể bị ảnh hưởng , không bị ảnh hưởng . Ngoài ra, máy chủ OpenSSH hoàn toàn KHÔNG liên kết với OpenSSL. Các tiện ích như ssh-keygen làm, nhưng chúng không được sử dụng bởi chính máy chủ OpenSSH . Điều này có thể thấy rõ trong đầu ra lsof tôi cung cấp - OpenSSH không được liệt kê ở đó, mặc dù nó đang chạy trên máy chủ.

— Nowaker

1

Các dịch vụ khác bị ảnh hưởng bởi điều này.

Đối với bất kỳ ai sử dụng HMailServer, hãy bắt đầu đọc tại đây - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Bất cứ ai và mọi người sẽ cần kiểm tra với các nhà phát triển của tất cả các gói phần mềm để tìm hiểu xem có cần cập nhật không.

— người thích
nguồn