Вопрос: Heartbleed: не затронуты ли услуги, отличные от HTTPS?


Открытая уязвимость OpenSSL "CVE-2014-0160) влияет на веб-серверы, обслуживающие HTTPS. Другие службы также используют OpenSSL. Являются ли эти службы также уязвимыми для утечки данных, подобной инфузории?

Я имею в виду, в частности,

  • SSHD
  • защищенный SMTP, IMAP и т. д. - dovecot, exim & postfix
  • VPN-серверы - openvpn и друзья

все из которых, по крайней мере, в моих системах, связаны с библиотеками OpenSSL.


62
2018-04-08 11:21


Источник


Исправить для Ubuntu: apt-get update && apt-get install openssl libssl1.0.0 && service nginx restart; затем переиздайте свои личные ключи - Homer6
Используйте этот инструмент для обнаружения уязвимых узлов: github.com/titanous/heartbleeder - Homer6
apt-get update должно быть достаточно для Ubuntu теперь без понижения, патч появился в основном репозитории прошлой ночью. - Jason C
apt-get update недостаточно. обновление показывает только последние изменения, apt-get UPGRADE будет применяться после обновления. - sjakubowski
Я уверен, что это то, что имел в виду @JasonC, но +1 для того, чтобы сделать это явным образом. - Craig


Ответы:


Любая служба, использующая OpenSSL для ее TLS реализация потенциально уязвима; это слабость в базовой библиотеке кипптографии, а не в том, как она представлена ​​через веб-сервер или сервер электронной почты. Вы должны учитывать, что все связанные службы уязвимы для утечки данных как минимум,

Как я уверен, вы знаете, вполне возможно объединить атаки вместе. Даже в самых простых атаках вполне возможно, например, использовать Heartbleed для компрометации SSL, чтения учетных данных электронной почты, использования учетных данных электронной почты для быстрого доступа к другим системам «Дорогой справочник, можете ли вы дать мне новый пароль для $ foo,,

В нем больше информации и ссылок. Сердечная ошибка, и в другом вопросе, поддерживаемом Серверной ошибкой, Heartbleed: Что это такое и какие варианты смягчить его?,


40
2018-04-08 11:28



«это слабость в базовой системе, а не в том, как она представлена ​​через систему более высокого уровня, такую ​​как SSL / TLS» - Нет, это неправильно. Это слабость в реализации расширения сердцебиения TLS. Если вы никогда не используете TLS, вы в безопасности. Я согласен с вашим заключением, однако, что вы должны быть очень осторожны в своем анализе в том, что может быть затронуто из-за прикованных атак. - Perseids
@Perseids, вы правы, конечно, я пытался найти легко понятный способ сказать, что люди не защищены, потому что они используют эту версию веб-сервера X или эту версию SMTP-сервера Y. Я делаю редактирование что, надеюсь, улучшит ситуацию, поэтому спасибо, что указали это. - Rob Moir


Кажется, ваши ssh-ключи безопасны:

Стоит отметить, что OpenSSH не влияет на ошибку OpenSSL. В то время как OpenSSH использует openssl для некоторых функций генерации ключей, он не использует протокол TLS (и, в частности, расширение сердечного ритма TLS, которое атакует сердцебиение). Поэтому нет необходимости беспокоиться о компрометации SSH, хотя по-прежнему рекомендуется обновить openssl до 1.0.1g или 1.0.2-beta2 (но вам не нужно беспокоиться о замене ключей SSH). - dr jimbob 6 часов назад

Видеть: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit


35
2018-04-08 13:28



Не косвенно ли это затронуто, как указано в @RobM? Кто-то читает пароль root из памяти, используя уязвимость Heartbleed, получает доступ к системе без доступа к SSH, а затем крадет вещи SSH. - Thomas Weller
Вы не можете прочитать ЛЮБОЙ 64 КБ памяти с этой ошибкой, только 64k, где находится входящий пакет. К сожалению, многие полезные свойства, как правило, хранятся там, такие как расшифрованные HTTP-запросы с открытым текстом паролей, личные ключи и фотографии котят. - larsr


В дополнение к ответу @RobM, и так как вы спрашиваете о SMTP конкретно: уже существует PoC для использования ошибки в SMTP: https://gist.github.com/takeshixx/10107280


4
2018-04-08 12:22



В частности, он использует соединение TLS, которое устанавливается после команды «starttls», если я правильно прочитал код. - Perseids


Да, эти службы могут быть скомпрометированы, если они полагаются на OpenSSL

OpenSSL используется для защиты, например, почтовых серверов (SMTP, POP и   IMAP-протоколы), чат-серверы (протокол XMPP), виртуальные частные   сети (SSL VPN), сетевые устройства и широкий выбор клиентов   стороннего программного обеспечения.

Для более подробной записи об уязвимостях, затронутых операционных системах и т. Д. Вы можете проверить http://heartbleed.com/


3
2018-04-09 08:41





Все, что связано с libssl.so могут быть затронуты. После обновления вы должны перезапустить любую службу, которая связывается с OpenSSL.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Предоставлено Анатолом Помосовым из Список рассылки Arch Linux,


3
2018-04-09 19:30



Все, что связано с libssl и использует TLS. Openssh использует openssl, но не использует TLS, поэтому на него не влияет. - StasM
@StasM Вот почему я написал могут быть затронуты, а не подвергается воздействию, Кроме того, OpenSSH сервер НЕ связывается с OpenSSL вообще. Утилиты, такие как ssh-keygen, но не используются OpenSSH сервер сам. Что хорошо видно на выходе lsof, который я представил - OpenSSH там не указан, хотя он работает на сервере. - Nowaker


Это влияет на другие услуги.

Для тех, кто использует HMailServer, начните читать здесь - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Каждому и каждому нужно будет проверить с разработчиками всех пакетов программного обеспечения, чтобы узнать, нужны ли обновления.


1
2018-04-09 17:58