web-dev-qa-db-ja.com

Heartbleed:HTTPS以外のサービスは影響を受けますか?

OpenSSLの「ハートブリード」の脆弱性( CVE-2014-016 )は、HTTPSを提供するWebサーバーに影響します。他のサービスもOpenSSLを使用しています。これらのサービスはまた、ハートブリードのようなデータ漏洩に対して脆弱ですか?

特に私は考えています

  • sshd
  • 安全なSMTP、IMAPなど-dovecot、exim、postfix
  • VPNサーバー-openvpnと友達

私のシステムでは、これらすべてがOpenSSLライブラリにリンクされています。

65
Flup

[〜#〜] tls [〜#〜] の実装にOpenSSLを使用するサービスは、潜在的に脆弱です。これは、基盤となる暗号化ライブラリの弱点であり、Webサーバーまたは電子メールサーバーパッケージを介してどのように表示されるかではありません。すべてのリンクされたサービスはデータ漏洩に対して脆弱である少なくともと考える必要があります。

ご存知のとおり、攻撃を連鎖させることはかなり可能です。最も単純な攻撃でさえ、たとえば、Heartbleedを使用してSSLを危険にさらしたり、Webメールの資格情報を読んだり、Webメールの資格情報を使用してすばやくで他のシステムにアクセスしたりすることが完全に可能です。 $ fooの新しいパスワードを教えて、CEOを愛して」.

The Heartbleed Bugに詳細情報とリンクがあり、Server Fault regularハートブリード:それとは何か、それを軽減するためのオプションは何ですか?

40
Rob Moir

あなたのsshキーは安全なようです:

OpenSSHはOpenSSLバグの影響を受けないことを指摘する価値があります。 OpenSSHは一部の鍵生成機能にopensslを使用しますが、TLSプロトコル(特にハートブリード攻撃を行うTLSハートビート拡張)を使用しません。したがって、opensslを1.0.1gまたは1.0.2-beta2に更新することをお勧めしますが、SSHが危険にさらされることを心配する必要はありません(ただし、SSHキーペアの交換を心配する必要はありません)。 –ジンボブ博士6時間前

参照: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

35
simme

@RobMの回答に加えて、SMTPについて具体的に質問したため、SMTPのバグを悪用するためのPoCがすでに存在します。 https://Gist.github.com/takeshixx/1010728

4
Martijn

libssl.soにリンクしているものはすべて影響を受ける可能性があります。アップグレードした後、OpenSSLとリンクするサービスを再起動する必要があります。

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
Ruby-timer-thr: /usr/lib/libssl.so.1.0.0
Ruby: /usr/lib/libssl.so.1.0.0

Arch Linuxメーリングリスト のアナトールポモゾフ氏の厚意により掲載。

3
Nowaker

はい、それらのサービスがOpenSSLに依存している場合、侵害される可能性があります

OpenSSLは、たとえば電子メールサーバー(SMTP、POPおよびIMAPプロトコル)、チャットサーバー(XMPPプロトコル)、仮想プライベートネットワーク(SSL VPN)、ネットワークアプライアンス、およびさまざまなクライアント側ソフトウェアの保護に使用されます。

脆弱性、影響を受けるオペレーティングシステムなどの詳細については、チェックアウトしてください http://heartbleed.com/

3
Peter

他のサービスはこれによって影響を受けます。

HMailServerを使用している人は、こちらから読み始めてください http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

誰もが誰でも、すべてのソフトウェアパッケージの開発者に問い合わせて、更新が必要かどうかを確認する必要があります。

1
tiker