Heartbleed: apakah layanan selain HTTPS terpengaruh?

Kerentanan OpenSSL 'heartbleed' ( CVE-2014-0160 ) memengaruhi webserver yang melayani HTTPS. Layanan lain juga menggunakan OpenSSL. Apakah layanan ini juga rentan terhadap kebocoran data seperti jantung?

Saya sedang memikirkan khususnya

• sshd
• mengamankan SMTP, IMAP dll - dovecot, exim & postfix
• Server VPN - openvpn dan teman-teman

yang semuanya, pada sistem saya setidaknya, ditautkan ke perpustakaan OpenSSL.

Setiap layanan yang menggunakan OpenSSL untuk implementasi TLS -nya berpotensi rentan; ini adalah kelemahan dalam pustaka cyrptography yang mendasarinya, bukan dalam cara disajikan melalui server web atau paket server email. Anda harus mempertimbangkan setidaknya semua layanan tertaut yang rentan terhadap kebocoran data .

Karena saya yakin Anda sadar, sangat mungkin untuk melakukan serangan berantai bersama. Bahkan dalam serangan paling sederhana, sangat mungkin untuk, misalnya, menggunakan Heartbleed untuk berkompromi dengan SSL, membaca kredensial webmail, menggunakan kredensial webmail untuk mendapatkan akses ke sistem lain dengan cepat, "Dear helpdesk, bisakah Anda memberi saya kata sandi baru untuk $ foo, cinta CEO " .

Ada lebih banyak informasi dan tautan di The Heartbleed Bug , dan dalam pertanyaan lain yang dikelola oleh Server Fault reguler, Heartbleed: Apa itu dan apa saja pilihan untuk mengatasinya? .

Tampaknya kunci ssh Anda aman:

Perlu disebutkan bahwa OpenSSH tidak terpengaruh oleh bug OpenSSL. Sementara OpenSSH memang menggunakan openssl untuk beberapa fungsi generasi kunci, OpenSSH tidak menggunakan protokol TLS (dan khususnya ekstensi detak jantung TLS yang menyerang serangan jantung). Jadi tidak perlu khawatir tentang SSH dikompromikan, meskipun itu masih merupakan ide yang baik untuk memperbarui openssl ke 1.0.1g atau 1.0.2-beta2 (tetapi Anda tidak perlu khawatir tentang mengganti SSH keypairs). - dr jimbob 6 jam yang lalu

Lihat: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

Selain jawaban @RobM, dan karena Anda bertanya tentang SMTP secara spesifik: sudah ada PoC untuk mengeksploitasi bug di SMTP: https://gist.github.com/takeshixx/10107280

Ya, layanan itu dapat dikompromikan jika mereka mengandalkan OpenSSL

OpenSSL digunakan untuk melindungi misalnya server email (protokol SMTP, POP dan IMAP), server obrolan (protokol XMPP), jaringan pribadi virtual (SSL VPN), peralatan jaringan dan berbagai macam perangkat lunak sisi klien.

Untuk penulisan yang lebih rinci tentang kerentanan, sistem operasi yang terkena dampak, dll. Anda dapat checkout http://heartbleed.com/

Apa pun yang tertaut dengan libssl.somungkin terpengaruh. Anda harus memulai kembali layanan yang terhubung dengan OpenSSL setelah Anda memutakhirkan.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Atas perkenan Anatol Pomozov dari milis Arch Linux .

Layanan lain dipengaruhi oleh ini.

Untuk siapa saja yang menggunakan HMailServer, mulailah membaca di sini - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Siapa pun dan semua orang perlu memeriksa dengan pengembang semua paket perangkat lunak untuk mengetahui apakah pembaruan diperlukan.