Heartbleed: บริการอื่น ๆ ที่นอกเหนือจาก HTTPS ได้รับผลกระทบหรือไม่


65

ช่องโหว่ "อกหัก" OpenSSL ( CVE-2014-0160 ) ส่งผลกระทบต่อเว็บเซิร์ฟเวอร์ที่ให้บริการ HTTPS บริการอื่น ๆ ยังใช้ OpenSSL บริการเหล่านี้มีความเสี่ยงต่อการรั่วไหลของข้อมูลที่เหมือนหัวใจหรือไม่?

ฉันกำลังคิดโดยเฉพาะ

  • sshd
  • ปลอดภัย SMTP, IMAP ฯลฯ - dovecot, exim & postfix
  • เซิร์ฟเวอร์ VPN - openvpn และเพื่อน ๆ

ทั้งหมดนี้ในระบบของฉันอย่างน้อยก็เชื่อมโยงกับไลบรารี OpenSSL


แก้ไขสำหรับ Ubuntu: อัปเดต apt-get && apt-get ติดตั้ง openssl libssl1.0.0 && บริการ nginx เริ่มต้นใหม่; จากนั้นออกใหม่คีย์ส่วนตัวของคุณ
Homer6

ใช้เครื่องมือนี้เพื่อตรวจหาโฮสต์ที่มีช่องโหว่: github.com/titanous/heartbleeder
Homer6

1
apt-get updateน่าจะเพียงพอสำหรับ Ubuntu ในตอนนี้โดยไม่มีการลดระดับโปรแกรมปะแก้ปรากฏในแหล่งเก็บข้อมูลหลักเมื่อคืนที่ผ่านมา
Jason C

10
apt-get update ไม่เพียงพอ อัปเดตแสดงเฉพาะการเปลี่ยนแปลงล่าสุดเท่านั้น apt-get UPGRADE จะนำไปใช้หลังจากการอัปเดต
sjakubowski

1
ฉันแน่ใจว่าเป็นสิ่งที่ @JasonC มีความหมาย แต่ +1 สำหรับการทำให้ชัดเจน
Craig

คำตอบ:


40

บริการใด ๆ ที่ใช้ OpenSSL สำหรับการนำTLSไปใช้อาจมีความเสี่ยง นี่เป็นจุดอ่อนในไลบรารี Cyrptography ที่ซ่อนอยู่ไม่ใช่ในการนำเสนอผ่านเว็บเซิร์ฟเวอร์หรือแพ็คเกจอีเมลเซิร์ฟเวอร์ คุณควรพิจารณาบริการที่เชื่อมโยงทุกความเสี่ยงที่จะรั่วไหลของข้อมูลอย่างน้อย

ในขณะที่ฉันแน่ใจว่าคุณทราบแล้วมันเป็นไปได้ค่อนข้างมากที่จะโจมตีด้วยโซ่ แม้ในการโจมตีที่ง่ายที่สุดก็สามารถทำได้อย่างสมบูรณ์แบบเช่นใช้ Heartbleed เพื่อประนีประนอม SSL อ่านข้อมูลประจำตัวของเว็บเมล์ใช้ข้อมูลประจำตัวของเว็บเมล์เพื่อเข้าใช้งานระบบอื่น ๆ ด้วย"ฝ่ายช่วยเหลืออย่างรวดเร็วคุณสามารถให้รหัสผ่านใหม่แก่ฉัน รักซีอีโอ"

มีข้อมูลและลิงก์เพิ่มเติมในThe Heartbleed Bugและในอีกคำถามหนึ่งที่ดูแลโดย Server Fault ปกติHeartbleed: มันคืออะไรและมีตัวเลือกอะไรบ้างในการลดความมัน? .


3
"นี่เป็นจุดอ่อนในระบบพื้นฐานไม่ใช่ในการนำเสนอผ่านระบบระดับสูงกว่าเช่น SSL / TLS" - ไม่ผิด มันเป็นจุดอ่อนในการใช้ TLS heartbeat extension หากคุณไม่เคยใช้ TLS คุณจะปลอดภัย อย่างไรก็ตามฉันเห็นด้วยกับข้อสรุปของคุณว่าคุณจะต้องระมัดระวังในการวิเคราะห์ของคุณในสิ่งที่อาจได้รับผลกระทบเนื่องจากการโจมตีที่ถูกล่ามโซ่
Perseids

6
@Perseid แน่นอนคุณกำลังพยายามหาวิธีที่เข้าใจได้ง่ายว่าคนไม่ปลอดภัยเพราะพวกเขาใช้เว็บเซิร์ฟเวอร์ X รุ่นนี้หรือเซิร์ฟเวอร์ SMTP รุ่นนั้น Y. ฉันกำลังแก้ไข หวังว่าจะปรับปรุงสิ่งต่าง ๆ ดังนั้นขอขอบคุณที่ชี้ให้เห็น
Rob Moir

35

ดูเหมือนว่า ssh-keys ของคุณจะปลอดภัย:

เป็นมูลค่าชี้ให้เห็นว่า OpenSSH ไม่ได้รับผลกระทบจากข้อผิดพลาด OpenSSL ในขณะที่ OpenSSH ใช้ openssl สำหรับฟังก์ชั่นการสร้างคีย์บางรุ่นมันไม่ได้ใช้โปรโตคอล TLS (และโดยเฉพาะอย่างยิ่งส่วนขยาย heartbeat TLS ที่การโจมตีแบบ Heartbleed) ดังนั้นไม่จำเป็นต้องกังวลเกี่ยวกับ SSH ที่ถูกบุกรุกแม้ว่าจะเป็นความคิดที่ดีที่จะอัปเดต openssl เป็น 1.0.1g หรือ 1.0.2-beta2 (แต่คุณไม่ต้องกังวลกับการเปลี่ยนคู่คีย์ SSH) - dr jimbob 6 ชั่วโมงที่ผ่านมา

ดู: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit


จะไม่ได้รับผลกระทบทางอ้อมตามที่ระบุโดย @RobM หรือไม่ ใครบางคนอ่านรหัสผ่านของรูทจากหน่วยความจำโดยใช้ช่องโหว่ Heartbleed เข้าถึงทุกสิ่งที่ไม่ใช่ SSH เพื่อเข้าสู่ระบบแล้วขโมยข้อมูล SSH
โทมัสเวลเลอร์

1
คุณไม่สามารถอ่านหน่วยความจำ 64k ด้วยข้อผิดพลาดนี้เพียง 64k ใกล้กับที่เก็บแพ็คเก็ตที่เข้ามา น่าเสียดายที่สารพัดมีแนวโน้มที่จะถูกเก็บไว้ที่นั่นเช่นคำขอ HTTP ที่ถอดรหัสด้วยรหัสผ่านธรรมดากุญแจส่วนตัวและรูปภาพของลูกแมว
larsr

4

นอกจากคำตอบของ @RobM และเนื่องจากคุณถามเกี่ยวกับ SMTP โดยเฉพาะ: มี PoC สำหรับการใช้ประโยชน์จากบั๊กบน SMTP แล้ว: https://gist.github.com/takeshixx/10107280


4
โดยเฉพาะจะใช้ประโยชน์จากการเชื่อมต่อ TLS ที่สร้างขึ้นหลังจากคำสั่ง "starttls" ถ้าฉันอ่านรหัสอย่างถูกต้อง
Perseids

3

ใช่บริการเหล่านั้นสามารถถูกบุกรุกได้หากพวกเขาพึ่งพา OpenSSL

OpenSSL ใช้เพื่อปกป้องตัวอย่างเช่นเซิร์ฟเวอร์อีเมล (โปรโตคอล SMTP, POP และ IMAP), เซิร์ฟเวอร์แชท (โปรโตคอล XMPP), เครือข่ายส่วนตัวเสมือน (SSL VPNs), อุปกรณ์เครือข่ายและซอฟต์แวร์ฝั่งไคลเอ็นต์ที่หลากหลาย

หากต้องการรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ระบบปฏิบัติการที่ได้รับผลกระทบ ฯลฯ คุณสามารถเช็คเอาต์http://heartbleed.com/


3

สิ่งที่เชื่อมโยงกับlibssl.soอาจได้รับผลกระทบ คุณควรเริ่มบริการใด ๆ ที่เชื่อมโยงกับ OpenSSL หลังจากอัปเกรดแล้ว

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

มารยาทของ Anatol Pomozov จากรายชื่อที่ส่ง Arch ลินุกซ์


2
สิ่งที่เชื่อมโยงกับ libssl และใช้ TLS Openssh ใช้ openssl แต่ไม่ได้ใช้ TLS ดังนั้นจึงไม่ได้รับผลกระทบ
StasM

2
@StasM นั่นเป็นเหตุผลที่ผมเขียนอาจได้รับผลกระทบไม่ได้รับผลกระทบ นอกจากนี้เซิร์ฟเวอร์ OpenSSH ไม่เชื่อมโยงกับ OpenSSL เลย สาธารณูปโภคเช่น SSH-keygen ทำ แต่พวกเขาจะไม่ได้ใช้โดย OpenSSH เซิร์ฟเวอร์ตัวเอง ซึ่งสามารถมองเห็นได้อย่างชัดเจนในผลลัพธ์ lsof ที่ฉันให้ - OpenSSH ไม่อยู่ในรายการแม้ว่าจะทำงานบนเซิร์ฟเวอร์
Nowaker

1

บริการอื่น ๆ ได้รับผลกระทบจากสิ่งนี้

สำหรับผู้ที่ใช้ HMailServer เริ่มอ่านได้ที่นี่ - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

ทุกคนและทุกคนจะต้องตรวจสอบกับผู้พัฒนาซอฟต์แวร์ทั้งหมดเพื่อดูว่าจำเป็นต้องมีการอัพเดตหรือไม่

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.