Luka OpenSSL „heartbleed” ( CVE-2014-0160 ) wpływa na serwery WWW obsługujące HTTPS. Inne usługi również korzystają z OpenSSL. Czy usługi te są również narażone na wyciek danych podobnych do bicia serca?
Mam na myśli w szczególności
- sshd
- bezpieczne SMTP, IMAP itp. - dovecot, exim i postfix
- Serwery VPN - openvpn i przyjaciele
z których wszystkie, przynajmniej w moich systemach, są powiązane z bibliotekami OpenSSL.
security
openssl
heartbleed
Flup
źródło
źródło
apt-get update
powinno wystarczyć dla Ubuntu teraz bez obniżenia wersji, łatka pojawiła się w głównym repozytorium ostatniej nocy.Odpowiedzi:
Każda usługa korzystająca z OpenSSL do implementacji TLS jest potencjalnie podatna na atak; jest to słabość podstawowej biblioteki cyrptograficznej, a nie sposobu jej prezentacji za pośrednictwem serwera WWW lub pakietu serwera e-mail. Powinieneś uznać przynajmniej wszystkie powiązane usługi za podatne na wyciek danych .
Jestem pewien, że wiesz, że możliwe jest łączenie ataków razem. Nawet w najprostszych atakach jest całkowicie możliwe, na przykład, użycie Heartbleed do złamania protokołu SSL, odczytanie poświadczeń poczty internetowej, użycie poświadczeń poczty internetowej w celu uzyskania dostępu do innych systemów za pomocą szybkiego „Szanowni Centrum pomocy, czy możesz podać mi nowe hasło do $ foo, kocham CEO ” .
W The Heartbleed Bug jest więcej informacji i linków , aw innym pytaniu utrzymywanym przez błąd serwera regularnie, Heartbleed: co to jest i jakie są opcje, aby go złagodzić? .
źródło
Wygląda na to, że twoje klucze ssh są bezpieczne:
Zobacz: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit
źródło
Oprócz odpowiedzi @RobM, a ponieważ pytasz konkretnie o SMTP: istnieje już PoC do wykorzystania błędu na SMTP: https://gist.github.com/takeshixx/10107280
źródło
Tak, te usługi mogą zostać zagrożone, jeśli będą polegać na OpenSSL
Aby uzyskać bardziej szczegółowy opis słabych punktów, systemów operacyjnych, których dotyczy problem itp., Możesz przejść do kasy http://heartbleed.com/
źródło
libssl.so
Może to mieć wpływ na wszystko, z czym się łączy . Po aktualizacji należy ponownie uruchomić każdą usługę, która łączy się z OpenSSL.Dzięki uprzejmości Anatola Pomozowa z listy mailingowej Arch Linux .
źródło
Dotyczy to innych usług.
Dla każdego, kto korzysta z HMailServer, zacznij czytać tutaj - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276
Każdy i wszyscy będą musieli skontaktować się z twórcami wszystkich pakietów oprogramowania, aby dowiedzieć się, czy potrzebne są aktualizacje.
źródło