Heartbleed: czy dotyczy to usług innych niż HTTPS?

65

Luka OpenSSL „heartbleed” ( CVE-2014-0160 ) wpływa na serwery WWW obsługujące HTTPS. Inne usługi również korzystają z OpenSSL. Czy usługi te są również narażone na wyciek danych podobnych do bicia serca?

Mam na myśli w szczególności

  • sshd
  • bezpieczne SMTP, IMAP itp. - dovecot, exim i postfix
  • Serwery VPN - openvpn i przyjaciele

z których wszystkie, przynajmniej w moich systemach, są powiązane z bibliotekami OpenSSL.

security openssl heartbleed Flup
źródło
Poprawka dla Ubuntu: apt-get update && apt-get install openssl libssl1.0.0 && service nginx restart; następnie ponownie
wyślij
Użyj tego narzędzia, aby wykryć podatnych na atak hostów: github.com/titanous/heartbleeder
Homer6
1
apt-get updatepowinno wystarczyć dla Ubuntu teraz bez obniżenia wersji, łatka pojawiła się w głównym repozytorium ostatniej nocy.
Jason C
10
aktualizacja apt-get NIE wystarcza. aktualizacja pokazuje tylko najnowsze zmiany, apt-get UPGRADE będzie obowiązywał po aktualizacji.
sjakubowski
1
Jestem pewien, że to właśnie oznaczało @JasonC, ale +1 za wyraźne wyjaśnienie.
Craig

Odpowiedzi:

40

Każda usługa korzystająca z OpenSSL do implementacji TLS jest potencjalnie podatna na atak; jest to słabość podstawowej biblioteki cyrptograficznej, a nie sposobu jej prezentacji za pośrednictwem serwera WWW lub pakietu serwera e-mail. Powinieneś uznać przynajmniej wszystkie powiązane usługi za podatne na wyciek danych .

Jestem pewien, że wiesz, że możliwe jest łączenie ataków razem. Nawet w najprostszych atakach jest całkowicie możliwe, na przykład, użycie Heartbleed do złamania protokołu SSL, odczytanie poświadczeń poczty internetowej, użycie poświadczeń poczty internetowej w celu uzyskania dostępu do innych systemów za pomocą szybkiego „Szanowni Centrum pomocy, czy możesz podać mi nowe hasło do $ foo, kocham CEO ” .

W The Heartbleed Bug jest więcej informacji i linków , aw innym pytaniu utrzymywanym przez błąd serwera regularnie, Heartbleed: co to jest i jakie są opcje, aby go złagodzić? .

Rob Moir
źródło
3
„jest to słabość systemu bazowego, a nie sposób, w jaki jest on prezentowany za pośrednictwem systemu wyższego poziomu, takiego jak SSL / TLS” - Nie, to źle. Jest to słabość we wdrażaniu rozszerzenia pulsu TLS. Jeśli nigdy nie korzystasz z TLS, jesteś bezpieczny. Zgadzam się jednak z twoją konkluzją, że musisz być bardzo ostrożny w swojej analizie, co może mieć wpływ z powodu ataków łańcuchowych.
Perseidy
6
@Perseids masz rację, oczywiście, próbowałem znaleźć łatwo zrozumiały sposób powiedzenia, że ​​ludzie nie są bezpieczni, ponieważ korzystają z tej wersji serwera X lub tej wersji serwera SMTP Y. Dokonuję edycji Mam nadzieję, że to poprawi sytuację, więc dziękuję za zwrócenie na to uwagi.
Rob Moir
35

Wygląda na to, że twoje klucze ssh są bezpieczne:

Warto zauważyć, że błąd OpenSSL nie ma wpływu na OpenSSH. Podczas gdy OpenSSH korzysta z openssl do niektórych funkcji generowania kluczy, nie korzysta z protokołu TLS (w szczególności rozszerzenia pulsu TLS, które atakuje bicie serca). Nie trzeba się więc martwić o włamanie do SSH, choć nadal warto aktualizować openssl do 1.0.1g lub 1.0.2-beta2 (ale nie musisz się martwić o wymianę kluczy SSH). - dr jimbob 6 godzin temu

Zobacz: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

simme
źródło
Czy nie wpływa to pośrednio, jak stwierdzono w @RobM? Ktoś odczytuje hasło roota z pamięci za pomocą luki Heartbleed, uzyskuje dostęp do systemu bez SSH, a następnie kradnie SSH.
Thomas Weller,
1
Nie można odczytać ŻADNEGO 64k pamięci z tym błędem, tylko 64k w pobliżu miejsca, w którym przechowywany jest pakiet przychodzący. Niestety, wiele dodatków jest tam zwykle przechowywanych, takich jak odszyfrowane żądania HTTP z hasłami w postaci zwykłego tekstu, klucze prywatne i zdjęcia kociąt.
larsr
4

Oprócz odpowiedzi @RobM, a ponieważ pytasz konkretnie o SMTP: istnieje już PoC do wykorzystania błędu na SMTP: https://gist.github.com/takeshixx/10107280

Martijn
źródło
4
W szczególności wykorzystuje połączenie TLS ustanowione po komendzie „starttls”, jeśli poprawnie odczytam kod.
Perseidy
3

Tak, te usługi mogą zostać zagrożone, jeśli będą polegać na OpenSSL

OpenSSL służy do ochrony na przykład serwerów e-mail (protokoły SMTP, POP i IMAP), serwerów czatów (protokół XMPP), wirtualnych sieci prywatnych (SSL VPN), urządzeń sieciowych i szerokiej gamy oprogramowania po stronie klienta.

Aby uzyskać bardziej szczegółowy opis słabych punktów, systemów operacyjnych, których dotyczy problem itp., Możesz przejść do kasy http://heartbleed.com/

Piotr
źródło
3

libssl.soMoże to mieć wpływ na wszystko, z czym się łączy . Po aktualizacji należy ponownie uruchomić każdą usługę, która łączy się z OpenSSL.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Dzięki uprzejmości Anatola Pomozowa z listy mailingowej Arch Linux .

Nowaker
źródło
2
Wszystko, co łączy się z libssl i używa TLS. Openssh używa openssl, ale nie używa TLS, więc nie ma na to wpływu.
StasM
2
@StasM Dlatego napisałem, że może to mieć wpływ , a nie dotyczy . Ponadto serwer OpenSSH wcale nie łączy się z OpenSSL. Narzędzia takie jak ssh-keygen robią, ale nie są używane przez sam serwer OpenSSH . Co jest wyraźnie widoczne w podanym przeze mnie wyjściu lsof - OpenSSH nie jest tam wymieniony, chociaż działa na serwerze.
Nowaker
1

Dotyczy to innych usług.

Dla każdego, kto korzysta z HMailServer, zacznij czytać tutaj - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Każdy i wszyscy będą musieli skontaktować się z twórcami wszystkich pakietów oprogramowania, aby dowiedzieć się, czy potrzebne są aktualizacje.

tiker
źródło