web-dev-qa-db-fra.com

Heartbleed: les services autres que HTTPS sont-ils affectés?

La vulnérabilité "Heartbleed" d'OpenSSL ( CVE-2014-016 ) affecte les serveurs Web desservant HTTPS. D'autres services utilisent également OpenSSL. Ces services sont-ils également vulnérables aux fuites de données de cœur?

Je pense en particulier à

  • sshd
  • sMTP sécurisé, IMAP, etc. - pigeonnier, exim et postfix
  • Serveurs VPN - openvpn et amis

tous, sur mes systèmes au moins, sont liés aux bibliothèques OpenSSL.

securityopensslheartbleed
65
Flup

Tout service qui utilise OpenSSL pour son implémentation TLS est potentiellement vulnérable; il s'agit d'une faiblesse de la bibliothèque de cyrptographie sous-jacente, et non de la façon dont elle est présentée via un serveur Web ou un package de serveur de messagerie. Vous devez considérer tous les services liés comme vulnérables aux fuites de données au moins .

Comme je suis sûr que vous le savez, il est tout à fait possible d'enchaîner les attaques ensemble. Même dans les attaques les plus simples, il est parfaitement possible, par exemple, d'utiliser Heartbleed pour compromettre SSL, de lire les informations d'identification de webmail, d'utiliser les informations d'identification de webmail pour accéder à d'autres systèmes avec un rapide "Cher helpdesk, pouvez-vous donnez-moi un nouveau mot de passe pour $ foo, love CEO ".

Il y a plus d'informations et de liens dans The Heartbleed Bug, et dans une autre question maintenue par un serveur Fault habituel, Heartbleed: Qu'est-ce que c'est et quelles sont les options pour l'atténuer?.

40
Rob Moir

Il semble que vos clés ssh soient en sécurité:

Il convient de souligner que OpenSSH n'est pas affecté par le bogue OpenSSL. Alors qu'OpenSSH utilise openssl pour certaines fonctions de génération de clés, il n'utilise pas le protocole TLS (et en particulier l'extension de pulsation TLS que les attaques cardiaques). Il n'est donc pas nécessaire de s'inquiéter de la compromission de SSH, bien que ce soit toujours une bonne idée de mettre à jour openssl à 1.0.1g ou 1.0.2-beta2 (mais vous n'avez pas à vous soucier de remplacer les paires de clés SSH). - dr jimbob Il y a 6 heures

Voir: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

35
simme

En plus de la réponse de @RobM, et puisque vous vous interrogez spécifiquement sur SMTP: il existe déjà un PoC pour exploiter le bogue sur SMTP: https://Gist.github.com/takeshixx/1010728

4
Martijn

Tout ce qui est lié à libssl.so peut être affecté. Vous devez redémarrer tout service lié à OpenSSL après la mise à niveau.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
Ruby-timer-thr: /usr/lib/libssl.so.1.0.0
Ruby: /usr/lib/libssl.so.1.0.0

Gracieuseté d'Anatol Pomozov de liste de diffusion Arch Linux .

3
Nowaker

Oui, ces services peuvent être compromis s'ils s'appuient sur OpenSSL

OpenSSL est utilisé pour protéger par exemple les serveurs de messagerie (protocoles SMTP, POP et IMAP), les serveurs de chat (protocole XMPP), les réseaux privés virtuels (VPN SSL), les appliances réseau et une grande variété de logiciels côté client.

Pour une description plus détaillée des vulnérabilités, des systèmes d'exploitation affectés, etc., vous pouvez consulter http://heartbleed.com/

3
Peter

D'autres services en sont affectés.

Pour tous ceux qui utilisent HMailServer, commencez à lire ici - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Tout le monde et tout le monde devront vérifier avec les développeurs de tous les progiciels pour savoir si des mises à jour sont nécessaires.

1
tiker