Bug Heartbleed, que serviços OpenSSL são vulneráveis ao vazamento?

Question

Bug Heartbleed, que serviços OpenSSL são vulneráveis ao vazamento?

#1 resposta do (3 votos)

1

Estou me preparando para consertar meu servidor (Debian Wheezy), e vai ser uma dor, porque eu construí muito do código-fonte (Apache 2.4, PHP, MySQL).

Antes de começar a aplicar patches, gostaria de entender melhor quais serviços OpenSSL são vulneráveis ao vazamento. Obviamente, os serviços HTTP / HTTPS são vulneráveis. E quanto ao SMTP, IMAP e POP? SSH? Ou é qualquer serviço voltado ao público que use as versões afetadas do OpenSSL que eu deveria estar ciente?

Meu servidor também tem IPMI / KVM (Supermicro) que eu uso para instalar meu sistema operacional. É acessível via HTTP / HTTPS na mesma máquina, mas com um endereço IP diferente. Eu me pergunto se isso também é vulnerável. Não tenho certeza se o servidor da Web Supermicro integrado usa o OpenSSL. Se assim for, posso pedir ao meu provedor de servidor para aplicar quaisquer patches de firmware.

security openssl

por Jeff 24.06.2014 / 20:14

1 resposta

Tags security openssl

Por que os programas personalizados são sempre instalados em / opt, / srv, / usr / local, etc. e não na pasta ~ / (home)? Localizando a entrada / dev para fazer partições em um cartão SD

score 3 · Accepted Answer

Obviously HTTP/HTTPS services are vulnerable.

Apenas o último;)

What about SMTP, IMAP and POP?

Existem on-line e offline testa em torno de servidores de e-mail (e servidores da Web). Se você está executando o debian, existe uma boa chance de o seu software ter sido compilado com uma versão do openSSL < 1.0.1, que é quando a vulnerabilidade é iniciada, portanto, se o binário foi estaticamente compilado (veja abaixo), verifique primeiro desta forma se você não quiser incomodar a reconstrução.

SSH?

O SSH não usa esse recurso, por isso não foi afetado.

Cuidado com o debian, basta substituir a biblioteca compartilhada, já que, por alguma razão, algumas coisinhas do servidor ativadas para openSSL parecem ter sido vinculadas estaticamente. Para verificar, execute ldd no binário. Se você sabe que o aplicativo usa SSL / TLS e não há nenhum link dado a libssl ou libgnutls, então ele foi compilado. Se ele falhar em um dos testes heartbleed, todo o aplicativo deve ser reconstruído.