Heartbleed：HTTPS以外のサービスは影響を受けますか？

65

OpenSSLの「heartbleed」脆弱性（CVE-2014-0160）は、HTTPSを提供するWebサーバーに影響します。他のサービスもOpenSSLを使用します。これらのサービスは、ハートブリードのようなデータ漏洩に対しても脆弱ですか？

私は特に考えています

sshd
安全なSMTP、IMAPなど-dovecot、exim、postfix
VPNサーバー-OpenVPNおよびフレンド

少なくとも私のシステムでは、これらはすべてOpenSSLライブラリにリンクされています。

security openssl heartbleed

— フラップ
ソース

Ubuntuの修正：apt-get update && apt-get install openssl libssl1.0.0 && service nginx restart; 次に、秘密鍵を再発行します

— Homer6 14

このツールを使用して、脆弱なホストを検出します。github.com

— titanous

1

apt-get updateダウングレードすることなく、Ubuntuに十分なはずです。このパッチは昨夜メインリポジトリに登場しました。

— ジェイソンC 14

10

apt-getの更新では不十分です。更新は最新の変更のみを表示し、更新後にapt-get UPGRADEが適用されます。

— sjakubowski 14

1

それが@JasonCの意図であると確信していますが、明示的に明確にするために+1しています。

— クレイグ14

40

TLS実装にOpenSSLを使用するサービスは潜在的に脆弱です。これは、基になる暗号化ライブラリの弱点であり、Webサーバーまたは電子メールサーバーパッケージを介した提示方法の弱点ではありません。リンクされたすべてのサービスは、少なくともデータ漏洩に対して脆弱であると考えてください。

ご承知のとおり、攻撃を連鎖させることはかなり可能です。最も単純な攻撃でも、たとえばHeartbleedを使用してSSLを侵害したり、Webメールの認証情報を読んだり、Webメールの認証情報を使用して他のシステムにすばやくアクセスしたりできます。「親愛なるヘルプデスク、$ fooの新しいパスワードを教えてください。愛のCEO」。

The Heartbleed Bugにはさらに多くの情報とリンクがあり、Server Faultの定期的な管理者であるHeartbleedが管理する別の質問には、それとは何か、それを軽減するオプションはありますか？。

— ロブ・モア
ソース

3

「これは基礎となるシステムの弱点であり、SSL / TLSなどの高レベルシステムを介して提示される方法ではありません」-いいえ、それは間違っています。これは、TLSハートビート拡張機能の実装の弱点です。TLSを使用したことがない場合は安全です。ただし、連鎖攻撃のために何が影響を受ける可能性があるかについては、分析に非常に注意する必要があるという結論に同意します。

— ペルセウス14

6

@Perseidsもちろんです。このバージョンのWebサーバーXまたはそのバージョンのSMTPサーバーYを実行しているため、人々は安全ではないと言う簡単に理解できる方法を見つけようとしました。うまくいけば物事が改善されるので、それを指摘してくれてありがとう。

— ロブモワー14

35

あなたのsshキーは安全なようです：

OpenSSHはOpenSSLのバグの影響を受けないことに注意してください。OpenSSHは一部のキー生成機能にopensslを使用しますが、TLSプロトコル（特に、ハートブリード攻撃を行うTLSハートビート拡張）は使用しません。そのため、SSHが侵害されることを心配する必要はありませんが、opensslを1.0.1gまたは1.0.2-beta2に更新することをお勧めします（ただし、SSHキーペアの交換について心配する必要はありません）。–ジンボブ博士6時間前

参照：https : //security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

— シム
ソース

@RobMが述べているように、間接的に影響を受けませんか？誰かがHeartbleed脆弱性を使用してメモリからルートのパスワードを読み取り、システムへの非SSHアクセスを取得してからSSHのものを盗みます。

— トーマスウェラー14

1

このバグで64kのメモリを読み取ることはできません。着信パケットが保存されている場所の64k付近のみです。残念なことに、プレーンテキストのパスワード、秘密鍵、子猫の写真を使用して復号化されたHTTPリクエストなど、多くのグッズがそこに保存される傾向があります。

— larsr 14

4

@RobMの回答に加えて、SMTPについて具体的に質問するため、SMTPのバグを悪用するためのPoCが既にあります：https : //gist.github.com/takeshixx/10107280

— マルティン
ソース

4

具体的には、コードを正しく読み取った場合、「starttls」コマンドの後に確立されたTLS接続を利用します。

— ペルセウス14

3

はい、OpenSSLに依存している場合、これらのサービスが危険にさらされる可能性があります

OpenSSLは、たとえば電子メールサーバー（SMTP、POPおよびIMAPプロトコル）、チャットサーバー（XMPPプロトコル）、仮想プライベートネットワーク（SSL VPN）、ネットワークアプライアンス、およびさまざまなクライアント側ソフトウェアの保護に使用されます。

脆弱性、影響を受けるオペレーティングシステムなどの詳細については、http：//heartbleed.com/をご覧ください。

— ピーター
ソース

3

リンクするものlibssl.soはすべて影響を受ける可能性があります。アップグレード後、OpenSSLとリンクするサービスを再起動する必要があります。

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Arch LinuxメーリングリストのAnatol Pomozovの厚意により提供。

— ノワカー
ソース

2

libsslとリンクし、TLSを使用するもの。opensshはopensslを使用しますが、TLSは使用しないため、影響を受けません。

— StasM 14

2

私が書いた理由です@StasMが影響を受ける可能性があり、ない影響を与えています。また、OpenSSH サーバーはOpenSSLにまったくリンクしません。ssh-keygenのようなユーティリティは実行しますが、OpenSSH サーバー自体では使用されません。これは、私が提供したlsof出力に明確に表示されています-OpenSSHはサーバー上で実行されていますが、そこにはリストされていません。

— Nowaker 14

1

他のサービスはこの影響を受けます。

HMailServerを使用する場合は、ここから読み始めてください -http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

誰もが、すべてのソフトウェアパッケージの開発者に確認して、更新が必要かどうかを確認する必要があります。

— ティッカー
ソース