Heartbleed: sono interessati servizi diversi da HTTPS?

65

La vulnerabilità "heartbleed" di OpenSSL ( CVE-2014-0160 ) riguarda i server web che servono HTTPS. Altri servizi usano anche OpenSSL. Questi servizi sono anche vulnerabili alla perdita di dati simile al cuore?

Sto pensando in particolare a

  • sshd
  • SMTP sicuro, IMAP ecc. - dovecot, exim & postfix
  • Server VPN - openvpn e amici

tutti i quali, almeno sui miei sistemi, sono collegati alle librerie OpenSSL.

security  openssl  heartbleed 
flup
fonte
Correzione per Ubuntu: apt-get update && apt-get install openssl libssl1.0.0 && service nginx restart; quindi, riemettere le tue chiavi private
Homer6
Utilizzare questo strumento per rilevare gli host vulnerabili: github.com/titanous/heartbleeder
Homer6
1
apt-get updatedovrebbe essere abbastanza per Ubuntu ora senza downgrade, la patch è apparsa nel repository principale ieri sera.
Jason C
10
L'aggiornamento apt-get NON è sufficiente. update mostra solo le ultime modifiche, apt-get UPGRADE verrà applicato dopo l'aggiornamento.
sjakubowski,
1
Sono sicuro che questo è il significato di @JasonC, ma +1 per averlo reso esplicitamente chiaro.
Craig,

Risposte:

40

Qualsiasi servizio che utilizza OpenSSL per la sua implementazione TLS è potenzialmente vulnerabile; questa è una debolezza nella libreria di crittografia sottostante, non nel modo in cui viene presentata tramite un server Web o un pacchetto di server di posta elettronica. Dovresti considerare almeno tutti i servizi collegati vulnerabili alla perdita di dati .

Come sono sicuro che tu sappia, è del tutto possibile concatenare attacchi insieme. Anche negli attacchi più semplici è perfettamente possibile, ad esempio, utilizzare Heartbleed per compromettere SSL, leggere le credenziali di webmail, utilizzare le credenziali di webmail per accedere ad altri sistemi con un rapido "Gentile helpdesk, puoi darmi una nuova password per $ foo, amore CEO " .

Ci sono ulteriori informazioni e collegamenti in The Heartbleed Bug e in un'altra domanda gestita da un Server Fault regolare, Heartbleed: che cos'è e quali sono le opzioni per mitigarlo? .

Rob Moir
fonte
3
"questa è una debolezza nel sistema sottostante, non nel modo in cui è presentata tramite un sistema di livello superiore come SSL / TLS" - No, è sbagliato. È un punto debole nell'implementazione dell'estensione del battito cardiaco TLS. Se non usi mai TLS, sei al sicuro. Sono d'accordo con la tua conclusione, tuttavia, che devi essere molto attento nella tua analisi su ciò che potrebbe essere interessato a causa di attacchi concatenati.
Perseidi,
6
@Perseids hai ragione ovviamente, stavo cercando di trovare un modo facilmente comprensibile per dire che le persone non sono sicure perché eseguono questa versione del server web X o quella versione del server SMTP Y. Sto facendo una modifica si spera che migliorerà le cose, quindi grazie per averlo sottolineato.
Rob Moir,
35

Sembra che i tuoi tasti ssh siano al sicuro:

Vale la pena sottolineare che OpenSSH non è interessato dal bug OpenSSL. Mentre OpenSSH utilizza openssl per alcune funzioni di generazione di chiavi, non utilizza il protocollo TLS (e in particolare l'estensione di heartbeat TLS che ha attaccato il cuore). Quindi non c'è bisogno di preoccuparsi che SSH sia compromesso, anche se è comunque una buona idea aggiornare openssl a 1.0.1 ge 1.0.2-beta2 (ma non devi preoccuparti di sostituire le coppie di chiavi SSH). - dr jimbob 6 ore fa

Vedi: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

Simme
fonte
Non è influenzato indirettamente come affermato da @RobM? Qualcuno legge la password di root dalla memoria usando la vulnerabilità Heartbleed, ottiene qualsiasi accesso non SSH al sistema e quindi ruba le cose SSH.
Thomas Weller,
1
Non puoi leggere QUALSIASI 64k di memoria con questo bug, solo 64k vicino a dove è archiviato il pacchetto in arrivo. Sfortunatamente un sacco di chicche tendono ad essere archiviate lì, come richieste HTTP decifrate con password in chiaro, chiavi private e immagini di gattini.
Larsr,
3

Sì, tali servizi possono essere compromessi se si basano su OpenSSL

OpenSSL viene utilizzato per proteggere ad esempio server di posta elettronica (protocolli SMTP, POP e IMAP), server di chat (protocollo XMPP), reti private virtuali (VPN SSL), dispositivi di rete e un'ampia varietà di software lato client.

Per una descrizione più dettagliata delle vulnerabilità, dei sistemi operativi interessati ecc. È possibile consultare http://heartbleed.com/

Peter
fonte
3

Tutto ciò che si collega libssl.sopotrebbe essere interessato. È necessario riavviare qualsiasi servizio collegato a OpenSSL dopo aver effettuato l'aggiornamento.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Per gentile concessione di Anatol Pomozov dalla mailing list di Arch Linux .

Nowaker
fonte
2
Tutto ciò che si collega a libssl e utilizza TLS. Openssh usa openssl ma non usa TLS, quindi non è interessato.
StasM,
2
@StasM Ecco perché ho scritto che potrebbe essere interessato , non interessato . Inoltre, il server OpenSSH NON si collega affatto a OpenSSL. Utilità come ssh-keygen lo fanno, ma non sono utilizzate dal server OpenSSH stesso. Il che è chiaramente visibile nell'output di lsof che ho fornito - OpenSSH non è elencato lì, anche se è in esecuzione sul server.
Nowaker,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.