Kerentanan OpenSSL 'heartbleed' ( CVE-2014-0160 ) memengaruhi webserver yang melayani HTTPS. Layanan lain juga menggunakan OpenSSL. Apakah layanan ini juga rentan terhadap kebocoran data seperti jantung?
Saya sedang memikirkan khususnya
- sshd
- mengamankan SMTP, IMAP dll - dovecot, exim & postfix
- Server VPN - openvpn dan teman-teman
yang semuanya, pada sistem saya setidaknya, ditautkan ke perpustakaan OpenSSL.
security
openssl
heartbleed
Flup
sumber
sumber
apt-get update
seharusnya sudah cukup untuk Ubuntu sekarang tanpa downgrade, tambalan muncul di repositori utama tadi malam.Jawaban:
Setiap layanan yang menggunakan OpenSSL untuk implementasi TLS -nya berpotensi rentan; ini adalah kelemahan dalam pustaka cyrptography yang mendasarinya, bukan dalam cara disajikan melalui server web atau paket server email. Anda harus mempertimbangkan setidaknya semua layanan tertaut yang rentan terhadap kebocoran data .
Karena saya yakin Anda sadar, sangat mungkin untuk melakukan serangan berantai bersama. Bahkan dalam serangan paling sederhana, sangat mungkin untuk, misalnya, menggunakan Heartbleed untuk berkompromi dengan SSL, membaca kredensial webmail, menggunakan kredensial webmail untuk mendapatkan akses ke sistem lain dengan cepat, "Dear helpdesk, bisakah Anda memberi saya kata sandi baru untuk $ foo, cinta CEO " .
Ada lebih banyak informasi dan tautan di The Heartbleed Bug , dan dalam pertanyaan lain yang dikelola oleh Server Fault reguler, Heartbleed: Apa itu dan apa saja pilihan untuk mengatasinya? .
sumber
Tampaknya kunci ssh Anda aman:
Lihat: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit
sumber
Selain jawaban @RobM, dan karena Anda bertanya tentang SMTP secara spesifik: sudah ada PoC untuk mengeksploitasi bug di SMTP: https://gist.github.com/takeshixx/10107280
sumber
Ya, layanan itu dapat dikompromikan jika mereka mengandalkan OpenSSL
Untuk penulisan yang lebih rinci tentang kerentanan, sistem operasi yang terkena dampak, dll. Anda dapat checkout http://heartbleed.com/
sumber
Apa pun yang tertaut dengan
libssl.so
mungkin terpengaruh. Anda harus memulai kembali layanan yang terhubung dengan OpenSSL setelah Anda memutakhirkan.Atas perkenan Anatol Pomozov dari milis Arch Linux .
sumber
Layanan lain dipengaruhi oleh ini.
Untuk siapa saja yang menggunakan HMailServer, mulailah membaca di sini - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276
Siapa pun dan semua orang perlu memeriksa dengan pengembang semua paket perangkat lunak untuk mengetahui apakah pembaruan diperlukan.
sumber