Уязвимость OpenSSL 'heartbleed' (CVE-2014-0160) влияет на веб-серверы, обслуживающие HTTPS. Другие сервисы также используют OpenSSL. Уязвимы ли эти службы к утечке данных, подобной сердцебиению?
Я думаю в частности о
все они, по крайней мере, в моих системах, связаны с библиотеками OpenSSL.
Любой сервис, использующий OpenSSL для TLS реализация потенциально уязвима; это слабое место в базовой библиотеке криптографии, а не в том, как она представлена через веб-сервер или пакет почтового сервера. Вы должны учитывать, что все связанные сервисы уязвимы для утечки данных. по крайней мере.
Как я уверен, вы знаете, вполне возможно объединить атаки в цепочку. Даже в самых простых атаках вполне возможно, например, использовать Heartbleed для взлома SSL, читать учетные данные веб-почты, использовать учетные данные веб-почты для получения доступа к другим системам с быстрым "Дорогая служба поддержки, не могли бы вы дать мне новый пароль для $ foo, любимый генеральный директор".
Больше информации и ссылок можно найти в Ошибка Heartbleed, и в другом вопросе, который обслуживает регулярный специалист по сбоям сервера, Heartbleed: Что это такое и какие есть варианты его смягчения?.
Кажется, ваши ssh-ключи в безопасности:
Стоит отметить, что OpenSSH не подвержен ошибкам OpenSSL. Хотя OpenSSH действительно использует openssl для некоторых функций генерации ключей, он не использует протокол TLS (и, в частности, расширение пульса TLS, которое вызывает сердечные приступы). Таким образом, нет необходимости беспокоиться о взломе SSH, хотя по-прежнему рекомендуется обновить openssl до 1.0.1g или 1.0.2-beta2 (но вам не нужно беспокоиться о замене пар ключей SSH). - dr jimbob 6 часов назад
В дополнение к ответу @RobM, и поскольку вы спрашиваете конкретно о SMTP: уже существует PoC для использования ошибки на SMTP: https://gist.github.com/takeshixx/10107280
Да, эти сервисы могут быть скомпрометированы, если они полагаются на OpenSSL.
OpenSSL используется, например, для защиты серверов электронной почты (протоколы SMTP, POP и IMAP), серверов чата (протокол XMPP), виртуальных частных сетей (SSL VPN), сетевых устройств и широкого спектра клиентского программного обеспечения.
Для более подробной информации об уязвимостях, затронутых операционных системах и т. Д. Вы можете проверить http://heartbleed.com/
Все, что связано с libssl.so могут быть затронуты. Вам следует перезапустить любую службу, которая связана с OpenSSL после обновления.
# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0
Предоставлено Анатолием Помозовым из Список рассылки Arch Linux.
Это влияет на другие службы.
Для всех, кто использует HMailServer, начните читать здесь - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276
Всем и каждому нужно будет проконсультироваться с разработчиками всех программных пакетов, чтобы узнать, нужны ли обновления.