Сердечно: чи впливають інші послуги, ніж HTTPS?


65

Уразливість OpenSSL за допомогою «бездротового зв'язку» ( CVE-2014-0160 ) впливає на веб-сервери, які обслуговують HTTPS. Інші сервіси також використовують OpenSSL. Чи також ці служби вразливі до витоку даних, схожих на серце?

Я думаю, зокрема

  • sshd
  • безпечний SMTP, IMAP тощо - dovecot, exim & postfix
  • VPN-сервери - openvpn та друзі

всі вони, принаймні, в моїх системах, пов'язані з бібліотеками OpenSSL.


Виправлення для Ubuntu: оновлення apt-get && apt-get install openssl libssl1.0.0 & перезапуск служби nginx; потім
переопублікуйте

Використовуйте цей інструмент для виявлення вразливих хостів: github.com/titanous/heartbleeder
Homer6

1
apt-get updateПотрібно вистачити для Ubuntu зараз без пониження, патч з’явився в головному сховищі минулої ночі.
Джейсон C

10
оновлення apt-get НЕ достатньо. оновлення показує лише останні зміни, apt-get UPGRADE застосовуватиметься потім після оновлення.
sjakubowski

1
Я впевнений, що це означав @JasonC, але +1 для того, щоб зробити це чітко зрозумілим.
Крейг

Відповіді:


40

Будь-яка служба, яка використовує OpenSSL для своєї реалізації TLS, є потенційно вразливою; це слабкість основної бібліотеки цирптографії, а не в тому, як вона представлена ​​через веб-сервер або пакет сервера електронної пошти. Ви повинні вважати всі пов’язані служби принаймні уразливими до витоку даних .

Наскільки я впевнений, ви знаєте, цілком можливо зв'язати атаки разом. Навіть у найпростіших атаках цілком можливо, наприклад, використовувати Heartbleed для компрометації SSL, читати облікові дані веб-пошти, використовувати облікові дані веб-пошти, щоб отримати доступ до інших систем за допомогою швидкого "Шановна служба підтримки, чи можете ви дати мені новий пароль для $ foo, люблю генерального директора " .

Більше інформації та посилань у програмі The Heartbleed Bug , а також в іншому запитанні, яке підтримується системою "Помилка сервера", Heartbleed: що це таке та які варіанти для його усунення? .


3
"Це слабкість в базовій системі, а не в тому, як вона представлена ​​через систему вищого рівня, наприклад, SSL / TLS" - Ні, це неправильно. Це слабкість у здійсненні розширення серцебиття TLS. Якщо ви ніколи не використовуєте TLS, ви в безпеці. Я згоден з вашим висновком, що ви повинні бути дуже обережними у своєму аналізі щодо того, на що це може вплинути через прикуті напади.
Персейди

6
@Perseids Ви маєте рацію, звичайно, я намагався знайти легко зрозумілий спосіб сказати, що люди не захищені, оскільки вони працюють з цією версією веб-сервера X або такою версією SMTP-сервера. Я редагую редакцію це, сподіваємось, покращить речі, тому дякую, що вказали на це.
Роб Моїр

35

Здається, ваші ssh-ключі безпечні:

Варто зазначити, що помилка OpenSSH не впливає на OpenSSL. Хоча OpenSSH використовує openssl для деяких функцій генерації ключів, він не використовує протокол TLS (і, зокрема, розширення серцебиття TLS, яке атакує серце). Тож не потрібно турбуватися про те, що SSH поставиться під загрозу, хоча все-таки є хорошою ідеєю оновити openssl до 1.0.1g або 1.0.2-beta2 (але вам не доведеться турбуватися про заміну SSH-клавіш). - д-р Джимбоб 6 годин тому

Дивіться: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit


Чи це не впливає опосередковано, як заявляє @RobM? Хтось читає пароль з пам'яті, використовуючи вразливість Heartbleed, отримує будь-який не-SSH доступ до системи, а потім викрадає речі SSH.
Томас Веллер

1
З цією помилкою ви не можете прочитати БУДЬ 64K пам'яті, лише 64 кб поблизу, де зберігається вхідний пакет. На жаль, там зберігається чимало смаколиків, наприклад, розшифровані HTTP-запити з простими паролями, приватні ключі та зображення кошенят.
larsr

4

На додаток до відповіді @RobM, а оскільки ви спеціально запитуєте про SMTP: вже існує PoC для використання помилки на SMTP: https://gist.github.com/takeshixx/10107280


4
Зокрема, він використовує TLS-з'єднання, встановлене після команди "starttls", якщо я правильно прочитав код.
Персейди

3

Так, ці послуги можуть бути порушені, якщо вони покладаються на OpenSSL

OpenSSL використовується для захисту, наприклад, серверів електронної пошти (протоколи SMTP, POP та IMAP), серверів чату (протокол XMPP), віртуальних приватних мереж (SSL VPN), мережевих пристроїв та широкого спектру програмного забезпечення на стороні клієнта.

Щоб отримати докладнішу інформацію про вразливості, постраждалі операційні системи тощо, ви можете перевірити http://heartbleed.com/


3

Все, що libssl.soстосується, може вплинути на це. Вам слід перезапустити будь-яку службу, яка зв’язується з OpenSSL після оновлення.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Людство Анатоля Помозова з списку розсилки Arch Linux .


2
Все, що пов'язано з libssl та використовує TLS. Openssh використовує openssl, але не використовує TLS, тому це не впливає.
StasM

2
@StasM Ось чому я написав, що це може впливати , а не впливати . Також сервер OpenSSH взагалі НЕ пов'язується з OpenSSL. Утиліти на зразок ssh-keygen роблять, але вони не використовуються самим сервером OpenSSH . Що добре видно на lsof виведенні я надав - OpenSSH там не вказаний, хоча він працює на сервері.
Nowaker

1

На це впливають й інші служби.

Для всіх, хто використовує HMailServer, почніть читати тут - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Будь-хто та всі люди повинні проконсультуватися з розробниками всіх програмних пакетів, щоб з’ясувати, чи потрібні оновлення.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.