Heartbleed: apakah layanan selain HTTPS terpengaruh?

65

Kerentanan OpenSSL 'heartbleed' ( CVE-2014-0160 ) memengaruhi webserver yang melayani HTTPS. Layanan lain juga menggunakan OpenSSL. Apakah layanan ini juga rentan terhadap kebocoran data seperti jantung?

Saya sedang memikirkan khususnya

  • sshd
  • mengamankan SMTP, IMAP dll - dovecot, exim & postfix
  • Server VPN - openvpn dan teman-teman

yang semuanya, pada sistem saya setidaknya, ditautkan ke perpustakaan OpenSSL.

Flup
sumber
Perbaiki untuk Ubuntu: pembaruan apt-get && apt-get install openssl libssl1.0.0 && layanan nginx restart; lalu,
keluarkan kembali
Gunakan alat ini untuk mendeteksi host yang rentan: github.com/titanous/heartbleeder
Homer6
1
apt-get updateseharusnya sudah cukup untuk Ubuntu sekarang tanpa downgrade, tambalan muncul di repositori utama tadi malam.
Jason C
10
pembaruan apt-get TIDAK cukup. pembaruan hanya menunjukkan perubahan terbaru, apt-get UPGRADE akan berlaku kemudian setelah pembaruan.
sjakubowski
1
Saya yakin itulah yang dimaksud @JasonC, tetapi +1 untuk membuatnya jelas secara eksplisit.
Craig

Jawaban:

40

Setiap layanan yang menggunakan OpenSSL untuk implementasi TLS -nya berpotensi rentan; ini adalah kelemahan dalam pustaka cyrptography yang mendasarinya, bukan dalam cara disajikan melalui server web atau paket server email. Anda harus mempertimbangkan setidaknya semua layanan tertaut yang rentan terhadap kebocoran data .

Karena saya yakin Anda sadar, sangat mungkin untuk melakukan serangan berantai bersama. Bahkan dalam serangan paling sederhana, sangat mungkin untuk, misalnya, menggunakan Heartbleed untuk berkompromi dengan SSL, membaca kredensial webmail, menggunakan kredensial webmail untuk mendapatkan akses ke sistem lain dengan cepat, "Dear helpdesk, bisakah Anda memberi saya kata sandi baru untuk $ foo, cinta CEO " .

Ada lebih banyak informasi dan tautan di The Heartbleed Bug , dan dalam pertanyaan lain yang dikelola oleh Server Fault reguler, Heartbleed: Apa itu dan apa saja pilihan untuk mengatasinya? .

Rob Moir
sumber
3
"ini merupakan kelemahan dalam sistem yang mendasarinya, bukan pada bagaimana itu disajikan melalui sistem tingkat yang lebih tinggi seperti SSL / TLS" - Tidak, itu salah. Ini merupakan kelemahan dalam implementasi ekstensi detak jantung TLS. Jika Anda tidak pernah menggunakan TLS, Anda aman. Saya setuju dengan kesimpulan Anda, bahwa Anda harus sangat berhati-hati dalam analisis Anda dalam apa yang mungkin terpengaruh karena serangan berantai.
Perseids
6
@Perseids Anda benar tentu saja, saya mencoba menemukan cara yang mudah dimengerti untuk mengatakan bahwa orang tidak aman karena mereka menjalankan versi server web X atau versi server SMTP Y. Saya sedang mengedit semoga itu akan memperbaiki keadaan, jadi terima kasih sudah menunjukkannya.
Rob Moir
35

Tampaknya kunci ssh Anda aman:

Perlu disebutkan bahwa OpenSSH tidak terpengaruh oleh bug OpenSSL. Sementara OpenSSH memang menggunakan openssl untuk beberapa fungsi generasi kunci, OpenSSH tidak menggunakan protokol TLS (dan khususnya ekstensi detak jantung TLS yang menyerang serangan jantung). Jadi tidak perlu khawatir tentang SSH dikompromikan, meskipun itu masih merupakan ide yang baik untuk memperbarui openssl ke 1.0.1g atau 1.0.2-beta2 (tetapi Anda tidak perlu khawatir tentang mengganti SSH keypairs). - dr jimbob 6 jam yang lalu

Lihat: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

simme
sumber
Bukankah itu terpengaruh secara tidak langsung seperti yang dinyatakan oleh @RobM? Seseorang membaca kata sandi root dari memori menggunakan kerentanan Heartbleed, mendapatkan akses non-SSH apa pun ke sistem dan kemudian mencuri barang-barang SSH.
Thomas Weller
1
Anda tidak dapat membaca memori 64k APA PUN dengan bug ini, hanya 64k di dekat tempat paket masuk disimpan. Sayangnya banyak barang cenderung disimpan di sana, seperti permintaan HTTP yang didekripsi dengan kata sandi plaintext, kunci pribadi, dan gambar anak kucing.
larsr
4

Selain jawaban @RobM, dan karena Anda bertanya tentang SMTP secara spesifik: sudah ada PoC untuk mengeksploitasi bug di SMTP: https://gist.github.com/takeshixx/10107280

Martijn
sumber
4
Secara khusus ia mengeksploitasi koneksi TLS yang dibuat setelah perintah "starttls", jika saya membaca kode dengan benar.
Perseids
3

Ya, layanan itu dapat dikompromikan jika mereka mengandalkan OpenSSL

OpenSSL digunakan untuk melindungi misalnya server email (protokol SMTP, POP dan IMAP), server obrolan (protokol XMPP), jaringan pribadi virtual (SSL VPN), peralatan jaringan dan berbagai macam perangkat lunak sisi klien.

Untuk penulisan yang lebih rinci tentang kerentanan, sistem operasi yang terkena dampak, dll. Anda dapat checkout http://heartbleed.com/

Peter
sumber
3

Apa pun yang tertaut dengan libssl.somungkin terpengaruh. Anda harus memulai kembali layanan yang terhubung dengan OpenSSL setelah Anda memutakhirkan.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Atas perkenan Anatol Pomozov dari milis Arch Linux .

Pembuat sekarang
sumber
2
Apa pun yang tertaut dengan libssl dan menggunakan TLS. Openssh menggunakan openssl tetapi tidak menggunakan TLS, jadi itu tidak terpengaruh.
StasM
2
@StasM Itu sebabnya saya menulis mungkin terpengaruh , tidak terpengaruh . Juga, server OpenSSH TIDAK menghubungkan dengan OpenSSL sama sekali. Utilitas seperti ssh-keygen lakukan, tetapi mereka tidak digunakan oleh server OpenSSH itu sendiri. Yang terlihat jelas di keluaran lsof yang saya berikan - OpenSSH tidak terdaftar di sana, meskipun itu berjalan di server.
Sekarang lemah
1

Layanan lain dipengaruhi oleh ini.

Untuk siapa saja yang menggunakan HMailServer, mulailah membaca di sini - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Siapa pun dan semua orang perlu memeriksa dengan pengembang semua paket perangkat lunak untuk mengetahui apakah pembaruan diperlukan.

tiker
sumber