我正准备修补我的服务器(Debian Wheezy),这将是一件痛苦的事情,因为我从源代码(Apache 2.4、PHP、MySQL)构建了很多服务器。
在开始修补之前,我想更好地了解哪些 OpenSSL 服务容易受到泄漏。显然 HTTP/HTTPS 服务容易受到攻击。 SMTP、IMAP 和 POP 怎么样? SSH?或者是任何我应该注意使用受影响的 OpenSSL 版本的面向公众的服务吗?
我的服务器还有 IPMI/KVM (Supermicro),我用它来安装操作系统。可以在同一台计算机上通过 HTTP/HTTPS 访问它,但使用不同的 IP 地址。我想知道这是否也很脆弱。我不确定内置的 Supermicro Web 服务器是否使用 OpenSSL。如果是这样,我可能会要求我的服务器提供商应用任何固件补丁。
答案1
显然 HTTP/HTTPS 服务容易受到攻击。
只有后者;)
SMTP、IMAP 和 POP 怎么样?
有在线的和离线测试邮件服务器(和网络服务器)。如果您运行的是 debian,那么您的软件很有可能是使用 openSSL < 1.0.1 的版本编译的,这就是漏洞开始的时候,因此,如果二进制文件是静态编译的(见下文),请首先以这种方式检查它,如果您不想麻烦重建。
SSH?
SSH 不使用该功能,因此不受影响。
请注意,在 debian 上,仅仅替换共享库是不够的,因为无论出于何种原因,一些支持 openSSL 的服务器似乎是静态链接的。要进行检查,请运行ldd二进制文件。如果您知道该应用程序使用 SSL/TLS 并且没有提供 libssl 或 libgnutls 的链接,则该应用程序已被编译。如果它未通过一项 Heartbleed 测试,则必须重新构建整个应用程序。