OpenSSL的“心脏出血”漏洞(CVE-2014-0160)影响服务HTTPS的Web服务器。其他服务也使用OpenSSL。这些服务是否也容易受到类似流血的数据泄漏的侵害?

我特别考虑的是


sshd
安全的SMTP,IMAP等- -dovecot,exim和postfix
VPN服务器-openvpn和朋友

所有这些,至少在我的系统上,都链接到OpenSSL库。

评论

修复Ubuntu:apt-get更新&& apt-get安装openssl libssl1.0.0 &&服务nginx重新启动;然后,重新发布您的私钥
使用此工具来检测易受攻击的主机:github.com/titanous/heartbleeder
apt-get更新现在对于Ubuntu来说应该已经足够而无需降级了,该补丁昨晚出现在主存储库中。
apt-get更新还不够。更新仅显示最新更改,apt-get UPGRADE将在更新后应用。
我确定这就是@JasonC的意思,但是+1使其明确表示。

#1 楼

使用OpenSSL进行TLS实施的任何服务都可能受到攻击;这是底层密码学库的弱点,而不是通过Web服务器或电子邮件服务器包的呈现方式。您应该考虑所有链接的服务至少易受数据泄漏的影响。

正如我确定您所知道的那样,很有可能将攻击链接在一起。即使是最简单的攻击,也完全可以使用例如Hearthearted来破坏SSL,读取Webmail凭据,使用Webmail凭据来快速访问“其他系统”,“亲爱的服务台,您能给我$ foo的新密码,爱情CEO”。 >

评论

“这是底层系统的弱点,而不是通过更高级别的系统(例如SSL / TLS)显示出来的弱点”-不,这是错误的。这是TLS心跳扩展的实现中的一个弱点。如果您从未使用过TLS,那将是安全的。但是,我确实同意您的结论,即您必须非常谨慎地分析可能因连锁攻击而受到影响的内容。

–英仙座
2014年4月8日在13:12
@Perseids当然是对的,我试图找到一种易于理解的说法,即人们不安全,因为他们正在运行此版本的Web服务器X或SMTP服务器Y。有望改善情况,因此感谢您指出这一点。

–罗布·莫尔
2014年4月8日13:22


#2 楼

看来您的ssh键是安全的:


值得指出的是,OpenSSH不受OpenSSL错误的影响。尽管OpenSSH确实将openssl用于某些密钥生成功能,但并未使用TLS协议(尤其是令人发疯的TLS心跳扩展)。因此,无需担心SSH会受到威胁,尽管将openssl更新为1.0.1g或1.0.2-beta2还是个好主意(但您不必担心替换SSH密钥对)。 – jimbob博士6小时前


请参阅:
https://security.stackexchange.com/questions/55076/what-should-one-do-about-the- heartbleed-openssl-exploit

评论

@RobM是否间接影响了它?有人使用Heartbleed漏洞从内存中读取root的密码,获得对系统的任何非SSH访问,然后窃取SSH内容。

–托马斯·韦勒(Thomas Weller)
2014年4月9日在21:18
出现此错误,您将无法读取任何64k的内存,只能在存储传入数据包的位置附近读取64k。不幸的是,很多东西往往存储在这里,例如带有纯文本密码,私钥和小猫图片的解密HTTP请求。

– Larsr
2014年4月10日下午13:28

#3 楼

除了@RobM的答案之外,并且由于您特别询问SMTP:已经存在一个利用SMTP上的错误的PoC:https://gist.github.com/takeshixx/10107280

评论

具体来说,如果我正确阅读了代码,它将利用在“ starttls”命令之后建立的TLS连接。

–英仙座
2014年4月8日在13:22

#4 楼

是的,如果这些服务依赖于OpenSSL,则会受到损害。

OpenSSL用于保护例如电子邮件服务器(SMTP,POP和
IMAP协议),聊天服务器(XMPP协议)。 ),虚拟专用网络(SSL VPN),网络设备和各种客户端
端软件。受影响的操作系统等。您可以检出http://heartbleed.com/

#5 楼

libssl.so链接的任何内容都可能会受到影响。升级后,您应该重新启动任何与OpenSSL链接的服务。

# lsof +c 0 | grep -w DEL | awk '1 { print  ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0


由Arch Linux邮件列表中的Anatol Pomozov提供。

评论

与libssl链接并使用TLS的任何内容。 Openssh使用openssl但不使用TLS,因此不受影响。

– StasM
2014年4月10日下午3:50
@StasM这就是为什么我写的内容可能会受影响,而不是受影响。另外,OpenSSH服务器完全不针对OpenSSL进行链接。像ssh-keygen这样的实用程序可以使用,但是OpenSSH服务器本身不使用它们。在我提供的lsof输出中,这很明显-OpenSSH虽然在服务器上运行,但未在其中列出。

– Nowowaker
2014年4月10日下午13:07

#6 楼

其他服务也受此影响。

对于使用HMailServer的任何人,请开始阅读此处-http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

每个人和所有人都需要与所有软件包的开发人员进行核对,以了解是否需要更新。