Heartbleed: HTTPS dışındaki servisler etkileniyor mu?

65

OpenSSL 'yürekli' güvenlik açığı ( CVE-2014-0160 ), HTTPS hizmet veren web sunucularını etkiler. Diğer hizmetler OpenSSL'yi de kullanır. Bu hizmetler kalp atışı benzeri veri sızıntılarına karşı da savunmasız mı?

Özellikle düşünüyorum

sshd
güvenli SMTP, IMAP vb - güvercin, exim ve postfix
VPN sunucuları - openvpn ve arkadaşlar

Bunların tümü, en azından sistemlerimde, OpenSSL kütüphanelerine bağlı.

security openssl heartbleed

— Flup
kaynak

Ubuntu için düzeltme: apt-get güncelleme && apt-get install openssl libssl1.0.0 && service nginx restart; sonra özel anahtarlarınızı yeniden

— yayınlayın

Güvenlik açığı bulunan ana bilgisayarları tespit etmek için bu aracı kullanın: github.com/titanous/heartbleeder

— Homer6

1

apt-get updateşimdi indirmeden Ubuntu için yeterli olmalı, yama dün gece ana depoda göründü.

— Jason C

10

apt-get güncelleme yeterli değil. güncelleme sadece en son değişiklikleri gösterir, apt-get UPGRADE güncelleme sonrasında uygulanacaktır.

— sjakubowski

1

@JasonC'nin ne anlama geldiğine eminim, ama açıkça açıkça belirtmek için +1.

— Craig,

40

OpenSSL'yi TLS uygulaması için kullanan herhangi bir hizmet potansiyel olarak savunmasızdır; Bu, bir web sunucusu veya e-posta sunucusu paketi aracılığıyla sunulma şeklindeki değil, temel sitografi kitaplığındaki bir zayıflıktır. Bağlantılı tüm hizmetleri en azından veri sızıntısına karşı savunmasız olarak düşünmelisiniz .

Bildiğiniz gibi eminim, birlikte saldırıları zincirlemek oldukça mümkün. En basit saldırılarda bile, örneğin, SSL’den ödün vermek için Heartbleed’i kullanmak, web posta bilgilerini okumak, hızlı bir şekilde diğer sistemlere erişmek için web posta bilgilerini kullanmak "Sevgili yardım masası, $ foo için bana yeni bir şifre verebilir misin? CEO’yu seviyorum " .

The Heartbleed Bug'da daha fazla bilgi ve bağlantı var ve bir Server Fault tarafından düzenlenen başka bir soruda düzenli olarak, Heartbleed: Bu nedir ve hafifletmek için seçenekler nelerdir? .

— Rob Moir
kaynak

3

"Bu, SSL / TLS gibi daha yüksek bir sistem aracılığıyla nasıl sunulduğunu değil, temeldeki sistemdeki bir zayıflıktır" - Hayır, bu yanlış. TLS kalp atışı uzantısının uygulanmasındaki bir zayıflıktır. Eğer hiç TLS kullanmazsanız, güvende olursunuz. Bununla birlikte, zincirleme saldırılardan ne etkilenebileceği konusundaki analizinizde çok dikkatli olmanız gerektiği sonucuna katılıyorum.

— Perseids,

6

@Perseids elbette haklısın, insanların güvenli olmadıklarını söylemenin kolay anlaşılır bir yolunu bulmaya çalışıyordum, çünkü web sunucusu X'in bu sürümünü veya SMTP sunucusu Y'nin bu sürümünü kullanıyorlar. Bu umarım şeyleri geliştirir, bu yüzden işaret için teşekkür ederiz.

— Rob Moir

35

Görünüşe göre ssh anahtarların güvende:

OpenSSH'nin OpenSSL hatasından etkilenmediğine dikkat çekmek önemlidir. OpenSSH bazı anahtar oluşturma işlevleri için openssl'yi kullanırken, TLS protokolünü (ve özellikle kalp atışlarına saldıran TLS kalp atışı uzantısı) kullanmaz. Bu nedenle, SSH’nin tehlikeye atılması konusunda endişelenmenize gerek yok, ancak yine de openssl’yı 1.0.1g veya 1.0.2-beta2’ye güncellemek iyi bir fikir. - dr jimbob 6 saat önce

Bakınız: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

— simme
kaynak

@RobM tarafından belirtildiği gibi dolaylı olarak etkilenmiyor mu? Birisi Heartbleed güvenlik açığını kullanarak kökün şifresini bellekten okuyor, sisteme SSH dışı erişim ne olursa olsun alıyor ve ardından SSH malzemelerini çalıyor.

— Thomas Weller

1

Bu hata ile HERHANGİ bir 64k hafızayı okuyamazsınız, gelen paketin depolandığı yere sadece 64k. Maalesef, düz metin şifreli şifresi çözülmüş HTTP istekleri, özel anahtarlar ve yavru kedi resimleri gibi birçok özellik burada saklanma eğilimindedir.

— larsr

4

@RobM'nin cevabına ek olarak ve özellikle SMTP'yi sorduğunuzdan beri: SMTP'deki hatayı kullanmak için zaten bir PoC var: https://gist.github.com/takeshixx/10107280

— Martijn
kaynak

4

Özellikle kodu doğru okuduğumda "starttls" komutundan sonra kurulan TLS bağlantısını kullanıyor.

— Perseids

3

Evet, OpenSSL'e güveniyorlarsa bu hizmetler tehlikeye girebilir

OpenSSL, örneğin e-posta sunucularını (SMTP, POP ve IMAP protokolleri), sohbet sunucularını (XMPP protokolü), sanal özel ağları (SSL VPN'ler), ağ cihazlarını ve çok çeşitli istemci tarafı yazılımını korumak için kullanılır.

Güvenlik açıkları, etkilenen işletim sistemleri vb. Hakkında daha ayrıntılı bilgi için http://heartbleed.com/ adresini ziyaret edebilirsiniz.

— Peter
kaynak

3

Bağlantı kuran herhangi bir şey libssl.soetkilenebilir. Yükseltme işleminden sonra OpenSSL ile bağlantı kuran herhangi bir hizmeti yeniden başlatmalısınız.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Arch Linux posta listesinden Anatol Pomozov'un izniyle .

— Nowaker
kaynak

2

Libssl ile bağlanan ve TLS kullanan her şey. Openssh openssl kullanır, ancak TLS kullanmaz, bu yüzden etkilenmez.

— StasM

2

@StasM Yazdığımdan bu yüzden etkilenebilir , etkilenmeyebilir . Ayrıca, OpenSSH sunucusu OpenSSL ile hiç bağlantı kurmaz. Ssh-keygen gibi araçlar, ancak OpenSSH sunucusunun kendisi tarafından kullanılmaz . Sağladığım çıktıda açıkça görülebilen - OpenSSH burada listelenmiyor, ancak sunucuda çalışıyor olmasına rağmen.

— Nowaker,

1

Diğer hizmetler bundan etkilenir.

HMailServer kullanan herkes için burada okumaya başlayın - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Güncelleme gerekip gerekmediğini öğrenmek için herkes ve herkesin tüm yazılım paketlerinin geliştiricileri ile görüşmesi gerekir.

— tiker
kaynak