web-dev-qa-db-ja.com

Heartbleedの影響を受けるサービスはどれですか?

Heartbleedが正確にどのサービスに影響を与えるかについて混乱していることを認めざるを得ません。私は http://heartbleed.com を読みましたが、OpenSSLが影響を受けているというだけです。すばらしいですが、OpenSSLがどこで使用されているのか本当にわかりません。

具体的には、これらのサービスに影響があります:

  • HTTPS(これは私が答えを知っていると思います)
  • SSH
  • HTTP
  • 他?

HTTPS(HTTPのみ)を提供しないサーバーがある場合、それはサーバーがバグの影響を受けないことを意味しますか?

19
Matthieu Napoli

言うのは難しい正確にどのアプリ/サービスが影響を受けるか。これは、OpenSSLが、アプリケーションまたはシステムにTLSサポートを追加するために使用できるプログラミングコード(「ライブラリ」と呼ばれる)のコレクションであるためです。 TLS(Transport Layer Security)は安全な接続を提供し、HTTPS Webサイトの背後にあるセキュリティレイヤーとして知られています。

そのため、プログラマーがTLSを使用して何かに接続する必要があるプログラムを作成している場合、OpenSSLライブラリを使用してその機能をアプリに追加できます。

OpenSSLライブラリ自体は、他の多くのソフトウェアと同様に、常に改善されています。このプロセス中に、Heartbleedバグは、誤って2012年3月14日にリリースされたOpenSSLバージョン1.0.1で導入されました。バージョン1.0.1f(包括的)まで存在し、7月7日にリリースされた1.0.1gで修正されました2014年4月.

これは、TLSにthose OpenSSLバージョンを使用するすべてのアプリケーションが影響を受ける可能性があることを意味します。影響を受ける開発者が修正を行っていることは間違いありません。

その後、修正は「バックポート」されました。つまり、1.0.1gより前のバージョンのOpenSSLに追加されました。これはgoodのことであり、通常は脆弱性に対して行われますが、アプリが脆弱かどうかを判断するのを難しくするという副作用があります(OpenSSLバージョンを見ただけでは判断できないため) )。

特定の質問に対処するには:

  • SSHは影響を受けません(SSHはTLSとは異なるプロトコルです)
  • HTTPは影響を受けません(HTTPもTLSとは異なるプロトコルです)。つまり、HTTPのみのサーバーは影響を受けません。
  • Microsoft IIS Webサーバー(OpenSSLを使用しない))は、影響を受けることなくHTTPSを提供できるため、他のライブラリを使用してHTTPSを提供することが可能であることに注意してください。

要約すると:

影響を受けるアプリ/サービスは、TLS接続にOpenSSLの脆弱なバージョンを使用しているものだけですおよび TLSハートビートをサポートしています

  • 他のTLSライブラリ(GnuTLS、SChannel、JSSEなど)cannotこの特定のバグの影響を受ける可能性があります。OpenSSLライブラリの特定のバージョンにのみ存在するためです。

  • 不明な場合は、アプリケーションを作成した人/会社に問い合わせてください。

  • 開発者であれば、アプリがTLS接続に使用しているライブラリを確認し、 test を確認してください。

19
scuzzy-delta

FTPS(FTP over SSL/TLS)サービスが影響を受けます。以下は、いくつかのFTPサーバーとFTPクライアントのベンダー、オープンソースプロジェクト、およびそれらの公式応答のリストです。

http://www.filetransferconsulting.com/managed-file-transfer-heartbleed-ftp-server/

6
ftexperts

脆弱かどうかを確認するために使用できるスクリプトは次のとおりです。 http://Pastebin.com/1HxgWpTN

ここにもsshに関する回答があります: https://superuser.com/questions/739349/does-heartbleed-affect-ssh-keys

いいえ、Heartbleedは実際にはSSHキーに影響を与えないので、使用していたSSHキーを置き換える必要はおそらくありません。

まず、SSLとSSHは、2つの異なる用途のための2つの異なるセキュリティプロトコルです。同様に、OpenSSLとOpenSSHも、名前が似ているにもかかわらず、2つのまったく異なるソフトウェアパッケージです。

次に、Heartbleedエクスプロイトにより、脆弱なOpenSSL TLS/DTLSピアがランダムな64kBのメモリを返しますが、そのOpenSSLを使用するプロセスがアクセスできるメモリにほぼ制限されます。 OpenSSLを使用するプロセスがSSH秘密鍵にアクセスできない場合、Heartbleedを介してリークすることはできません。

4
Boogy

よくopenSSLは、暗号化の一貫性を可能にし、第三者と接触するサービスを識別するためのトンネリング技術です。

HTTPShttpよりもSSLを意味します

sSLの場合、いくつかのネットワークサービスで使用できます。私が知っているのは

ssl上のhttp-s、ftp-s sip、およびopenSSLを使用するopenVPN。

基本サービスhttpftpまたはsipは暗号化されておらず、他のものに対して脆弱ですが、Heartbleedエクスプロイトに応答しません

0
Kiwy