Heartbleed: os serviços que não são HTTPS são afetados?

Question

Heartbleed: os serviços que não são HTTPS são afetados?

#1 resposta do (40 votos)
#2 resposta do (35 votos)
#3 resposta do (4 votos)
#4 resposta do (3 votos)
#5 resposta do (3 votos)
#6 resposta do (1 votos)

62

A vulnerabilidade "heartbleed" do OpenSSL ( CVE-2014-0160 ) afeta servidores da web que atendem HTTPS. Outros serviços também usam o OpenSSL. Esses serviços também são vulneráveis a vazamentos de dados do tipo heartbleed?

Estou pensando em particular

sshd
SMTP seguro, IMAP etc - dovecot, exim & postfix
servidores VPN - openvpn e amigos

todos os quais, pelo menos em meus sistemas, estão vinculados às bibliotecas do OpenSSL.

por Flup 08.04.2014 / 13:21

6 respostas

35

Parece que suas chaves ssh estão seguras:

It's worth pointing out that OpenSSH is not affected by the OpenSSL bug. While OpenSSH does use openssl for some key-generation functions, it does not use the TLS protocol (and in particular the TLS heartbeat extension that heartbleed attacks). So there is no need to worry about SSH being compromised, though it is still a good idea to update openssl to 1.0.1g or 1.0.2-beta2 (but you don't have to worry about replacing SSH keypairs). – dr jimbob 6 hours ago

Veja: link

por 08.04.2014 / 15:28

4

Além da resposta do @RobM, e já que você pergunta sobre o SMTP especificamente: já existe um PoC para explorar o bug no SMTP: link

por 08.04.2014 / 14:22

3

Sim, esses serviços podem ser comprometidos se eles confiarem no OpenSSL

OpenSSL is used to protect for example email servers (SMTP, POP and IMAP protocols), chat servers (XMPP protocol), virtual private networks (SSL VPNs), network appliances and wide variety of client side software.

Para uma descrição mais detalhada das vulnerabilidades, sistemas operacionais afetados etc., você pode finalizar o link

por 09.04.2014 / 10:41

3

Qualquer coisa vinculada a libssl.so pode ser afetada. Você deve reiniciar qualquer serviço vinculado ao OpenSSL depois de ter feito upgrade.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Cortesia de Anatol Pomozov da lista de discussão do Arch Linux .

por 09.04.2014 / 21:30

1

Outros serviços são afetados por isso.

Para quem usa o HMailServer, leia aqui - link

Qualquer pessoa e todos precisarão verificar com os desenvolvedores de todos os pacotes de software para descobrir se são necessárias atualizações.

por 09.04.2014 / 19:58

OpenSSH: Diferença entre o sftp interno e o sftp-server Como posso depurar uma inicialização do contêiner do Docker?

score 40 · Accepted Answer

Qualquer serviço que use o OpenSSL para sua implementação de TLS é potencialmente vulnerável; isso é uma fraqueza na biblioteca de criptografia subjacente, não em como ela é apresentada por meio de um servidor da Web ou de um pacote de servidor de e-mail. Você deve considerar todos os serviços vinculados vulneráveis ao vazamento de dados pelo menos .

Como tenho certeza de que você está ciente, é bem possível encadear ataques juntos. Mesmo nos ataques mais simples, é perfeitamente possível, por exemplo, usar o Heartbleed para comprometer SSL, ler credenciais de webmail, usar credenciais de webmail para obter acesso a outros sistemas com um rápido "Prezado helpdesk, você pode me dar uma nova senha? $ foo, amo o CEO ".

Há mais informações e links em O Bug Heartbleed , e em outra pergunta mantida por um Server Fault regular, Heartbleed: O que é e quais são as opções para atenuá-lo? .