La vulnerabilità "heartbleed" di OpenSSL ( CVE-2014-0160 ) riguarda i server web che servono HTTPS. Altri servizi usano anche OpenSSL. Questi servizi sono anche vulnerabili alla perdita di dati simile al cuore?
Sto pensando in particolare a
- sshd
- SMTP sicuro, IMAP ecc. - dovecot, exim & postfix
- Server VPN - openvpn e amici
tutti i quali, almeno sui miei sistemi, sono collegati alle librerie OpenSSL.
apt-get update
dovrebbe essere abbastanza per Ubuntu ora senza downgrade, la patch è apparsa nel repository principale ieri sera.