Heartbleed: затронуты ли другие услуги, кроме HTTPS?

65

Уязвимость OpenSSL «heartbleed» ( CVE-2014-0160 ) затрагивает веб-серверы, обслуживающие HTTPS. Другие сервисы также используют OpenSSL. Являются ли эти службы также уязвимыми для утечки данных, напоминающей сердечные приступы?

Я думаю, в частности, о

  • SSHD
  • безопасный SMTP, IMAP и т. д. - dovecot, exim & postfix
  • VPN-серверы - openvpn и друзья

все из которых, по крайней мере в моих системах, связаны с библиотеками OpenSSL.

security openssl heartbleed Flup
источник
Исправление для Ubuntu: apt-get update && apt-get install openssl libssl1.0.0 && service nginx restart; затем, переиздайте свои закрытые ключи
Homer6
Используйте этот инструмент для обнаружения уязвимых хостов: github.com/titanous/heartbleeder
Homer6
1
apt-get updateдолжно быть достаточно для Ubuntu сейчас без понижения, патч появился в главном репозитории вчера вечером.
Джейсон С,
10
apt-get update НЕ достаточно. Обновление показывает только последние изменения, после обновления будет применено apt-get UPGRADE.
Сякубовски
1
Я уверен, что это то, что имел в виду @JasonC, но +1 для ясности.
Крейг,

Ответы:

40

Любой сервис, который использует OpenSSL для своей реализации TLS, потенциально уязвим; это слабость базовой библиотеки кирптографии, а не то, как она представлена ​​через веб-сервер или сервер электронной почты. Вы должны рассмотреть все связанные сервисы как минимум уязвимые для утечки данных .

Как я уверен, вы знаете, что вполне возможно объединить атаки. Даже в самых простых атаках вполне возможно, например, использовать Heartbleed для взлома SSL, читать учетные данные веб-почты, использовать учетные данные веб-почты для быстрого доступа к другим системам с помощью «Уважаемая служба поддержки, можете ли вы дать мне новый пароль для $ foo, люблю генеральный директор " .

В журнале The Heartbleed Bug содержится дополнительная информация и ссылки , а в другом вопросе, который регулярно поддерживается с ошибкой сервера, Heartbleed: что это такое и какие есть варианты для его устранения? ,

Роб Моир
источник
3
«это слабость в базовой системе, а не в том, как она представлена ​​через систему более высокого уровня, такую ​​как SSL / TLS» - нет, это неправильно. Это слабость в реализации расширения сердцебиения TLS. Если вы никогда не используете TLS, вы в безопасности. Тем не менее, я согласен с вашим выводом, что вы должны быть очень осторожны в анализе того, что может быть затронуто из-за цепных атак.
Персеиды
6
@ Perseids вы правы, конечно, я пытался найти понятный способ сказать, что люди не защищены, потому что они используют эту версию веб-сервера X или версию SMTP-сервера Y. Я делаю правку надеюсь, это улучшит ситуацию, так что спасибо за указание на это.
Роб Мойр,
35

Кажется, ваши ssh-ключи в безопасности:

Стоит отметить, что OpenSSH не подвержен ошибке OpenSSL. Хотя OpenSSH использует openssl для некоторых функций генерации ключей, он не использует протокол TLS (и, в частности, расширение пульса TLS, которое атакует с перебоями). Таким образом, нет необходимости беспокоиться о том, что SSH может быть скомпрометирован, хотя все еще неплохо обновить openssl до 1.0.1g или 1.0.2-beta2 (но вам не нужно беспокоиться о замене пар ключей SSH). - Доктор Джимбоб 6 часов назад

См .: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

Simme
источник
Не влияет ли это косвенно, как заявлено @RobM? Кто-то читает пароль root из памяти, используя уязвимость Heartbleed, получает доступ к системе без SSH, а затем крадет SSH.
Томас Веллер
1
Вы не можете прочитать ЛЮБЫЕ 64 КБ памяти с этой ошибкой, только 64 КБ рядом с местом хранения входящего пакета. К сожалению, там обычно хранится много вкусностей, таких как расшифрованные HTTP-запросы с незашифрованными паролями, личные ключи и изображения котят.
Ларср
4

В дополнение к ответу @RobM, и поскольку вы спрашиваете конкретно о SMTP: уже есть PoC для использования ошибки на SMTP: https://gist.github.com/takeshixx/10107280

Мартейн
источник
4
В частности, он использует соединение TLS, которое устанавливается после команды «starttls», если я правильно прочитал код.
Персеиды
3

Да, эти сервисы могут быть скомпрометированы, если они полагаются на OpenSSL

OpenSSL используется для защиты, например, серверов электронной почты (протоколы SMTP, POP и IMAP), серверов чата (протокол XMPP), виртуальных частных сетей (SSL VPN), сетевых устройств и широкого спектра клиентского программного обеспечения.

Для более подробной информации об уязвимостях, уязвимых операционных системах и т. Д. Вы можете проверить http://heartbleed.com/

Питер
источник
3

Все, что связано с, libssl.soможет быть затронуто. Вам следует перезапустить любой сервис, который связывается с OpenSSL после того, как вы обновитесь.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Предоставлено Анатолием Помозовым из списка рассылки Arch Linux .

Nowaker
источник
2
Все, что связано с libssl и использует TLS. Openssh использует openssl, но не использует TLS, поэтому на него это не влияет.
StasM
2
@StasM Вот почему я написал, может быть затронут , а не затронут . Кроме того, сервер OpenSSH НЕ связывается с OpenSSL вообще. Такие утилиты, как ssh-keygen, но не используются самим сервером OpenSSH . Что хорошо видно в выводе lsof, который я предоставил - OpenSSH там не указан, хотя он работает на сервере.
Новакер
1

Другие услуги затронуты этим.

Для тех, кто использует HMailServer, начните читать здесь - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Всем и каждому нужно будет узнать у разработчиков всех пакетов программного обеспечения, чтобы узнать, нужны ли обновления.

Тикер
источник