Heartbleed: outros serviços além do HTTPS são afetados?

65

A vulnerabilidade 'heartbleed' do OpenSSL ( CVE-2014-0160 ) afeta servidores da web que servem HTTPS. Outros serviços também usam o OpenSSL. Esses serviços também são vulneráveis ​​ao vazamento de dados do tipo coração partido?

Estou pensando em particular em

  • sshd
  • SMTP seguro, IMAP etc - dovecot, exim & postfix
  • Servidores VPN - openvpn e amigos

todos os quais, pelo menos nos meus sistemas, estão vinculados às bibliotecas OpenSSL.

security  openssl  heartbleed 
Flup
fonte
Correção para Ubuntu: apt-get update && apt-get install openssl libssl1.0.0 && service nginx restart; em seguida, emitir novamente suas chaves privadas
Homer6
Usar essa ferramenta para detectar os anfitriões vulneráveis: github.com/titanous/heartbleeder
Homer6
11
apt-get updatedeve ser suficiente para o Ubuntu agora, sem fazer o downgrade, o patch apareceu no repositório principal ontem à noite.
Jason C #
10
A atualização apt-get NÃO é suficiente. update mostra apenas as alterações mais recentes, o apt-get UPGRADE será aplicado depois da atualização.
precisa saber é o seguinte
11
Tenho certeza que é isso que @JasonC significava, mas +1 por torná-lo explicitamente claro.
Craig

Respostas:

40

Qualquer serviço que use o OpenSSL para sua implementação TLS é potencialmente vulnerável; essa é uma fraqueza na biblioteca de criptografia subjacente, não na forma como é apresentada por meio de um servidor da web ou de um pacote de servidores de email. Você deve considerar todos os serviços vinculados vulneráveis ​​ao vazamento de dados pelo menos .

Como tenho certeza, você sabe que é possível encadear ataques juntos. Mesmo nos ataques mais simples, é perfeitamente possível, por exemplo, usar o Heartbleed para comprometer o SSL, ler credenciais de webmail, usar credenciais de webmail para obter acesso a outros sistemas com um rápido "Caro atendimento, você pode me dar uma nova senha por $ foo, amo CEO " .

Há mais informações e links em The Heartbleed Bug , e em outra questão mantida por uma falha regular do servidor, Heartbleed: O que é e quais são as opções para atenuá-lo? .

Rob Moir
fonte
3
"esta é uma fraqueza no sistema subjacente, não na forma como é apresentada através de um sistema de nível superior, como SSL / TLS" - Não, isso está errado. É uma fraqueza na implementação da extensão de pulsação TLS. Se você nunca usa o TLS, está seguro. Eu concordo com sua conclusão, no entanto, de que você deve ter muito cuidado em sua análise sobre o que pode ser afetado por causa de ataques encadeados.
Perseidas
6
@Perseids, você está certo, claro, eu estava tentando encontrar uma maneira facilmente compreensível de dizer que as pessoas não são seguras porque estão executando esta versão do servidor da Web X ou a versão do servidor SMTP Y. Estou fazendo uma edição espero que melhore as coisas, então obrigado por apontar isso.
precisa
35

Parece que suas chaves ssh estão seguras:

Vale ressaltar que o OpenSSH não é afetado pelo bug do OpenSSL. Embora o OpenSSH use o openssl para algumas funções de geração de chave, ele não usa o protocolo TLS (e, em particular, a extensão de pulsação TLS que ataca). Portanto, não há necessidade de se preocupar com o SSH sendo comprometido, embora ainda seja uma boa idéia atualizar o openssl para 1.0.1g ou 1.0.2-beta2 (mas você não precisa se preocupar em substituir os pares de chaves SSH). - dr jimbob 6 horas atrás

Consulte: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

simme
fonte
Não é afetado indiretamente, como afirma o @RobM? Alguém lê a senha do root na memória usando a vulnerabilidade Heartbleed, obtém qualquer acesso não-SSH ao sistema e depois rouba o material SSH.
9174 Thomas Weller
11
Você não pode ler QUALQUER 64k de memória com esse bug, apenas 64k perto de onde o pacote recebido está armazenado. Infelizmente, muitas guloseimas tendem a ser armazenadas lá, como solicitações HTTP descriptografadas com senhas de texto sem formatação, chaves privadas e imagens de gatinhos.
Larsr
3

Sim, esses serviços podem ser comprometidos se confiarem no OpenSSL

O OpenSSL é usado para proteger, por exemplo, servidores de email (protocolos SMTP, POP e IMAP), servidores de bate-papo (protocolo XMPP), redes virtuais privadas (VPN VPNs), dispositivos de rede e uma ampla variedade de softwares do lado do cliente.

Para uma descrição mais detalhada das vulnerabilidades, sistemas operacionais afetados etc., você pode conferir http://heartbleed.com/

Peter
fonte
3

Tudo o que libssl.soestiver vinculado poderá ser afetado. Você deve reiniciar qualquer serviço vinculado ao OpenSSL após a atualização.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Cortesia de Anatol Pomozov da lista de discussão do Arch Linux .

Nowaker
fonte
2
Qualquer coisa que esteja vinculada ao libssl e use TLS. O Openssh usa o openssl, mas não usa o TLS, portanto não é afetado.
StasM
2
@StasM É por isso que escrevi pode ser afetado , não é afetado . Além disso, o servidor OpenSSH NÃO se vincula ao OpenSSL. Utilitários como o ssh-keygen fazem, mas não são usados ​​pelo próprio servidor OpenSSH . O que é claramente visível na saída lsof que eu forneci - o OpenSSH não está listado lá, embora esteja sendo executado no servidor.
Nowaker
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.