OpenSSL 'heartbleed' 漏洞(CVE-2014-0160) 会影响使用 HTTPS 的 Web 服务器。其他服务也使用 OpenSSL。这些服务是否也容易受到类似 heartbleed 的数据泄露影响?
我特别想到的是
- sshd
- 安全 SMTP、IMAP 等 -- dovecot、exim 和 postfix
- VPN 服务器——openvpn 和朋友们
至少在我的系统上,所有这些都链接到 OpenSSL 库。
答案1
任何使用 OpenSSL 进行TLS实现可能存在漏洞;这是底层加密库的弱点,而不是通过 Web 服务器或电子邮件服务器包呈现的弱点。您应该考虑所有链接服务都容易受到数据泄露的影响至少。
我相信你已经意识到,将攻击串联起来是完全有可能的。即使是最简单的攻击,也完全有可能,例如,使用 Heartbleed 来破坏 SSL、读取 Webmail 凭据、使用 Webmail 凭据快速访问其他系统“亲爱的帮助台,您能给我一个 $foo 的新密码吗,亲爱的 CEO”。
更多信息和链接请访问心脏出血漏洞,在 Server Fault 常客维护的另一个问题中,Heartbleed:它是什么?有哪些方法可以缓解它?。
答案2
看来你的 ssh 密钥是安全的:
值得指出的是,OpenSSH 不受 OpenSSL 漏洞的影响。虽然 OpenSSH 确实使用 openssl 执行一些密钥生成功能,但它不使用 TLS 协议(尤其是 heartbleed 攻击的 TLS 心跳扩展)。因此无需担心 SSH 受到攻击,尽管将 openssl 更新到 1.0.1g 或 1.0.2-beta2 仍然是一个好主意(但您不必担心替换 SSH 密钥对)。– dr jimbob 6 小时前
答案3
除了@RobM 的回答之外,由于您特别询问了 SMTP:已经有一个用于利用 SMTP 上的漏洞的 PoC:https://gist.github.com/takeshixx/10107280
答案4
任何与 OpenSSL 链接的libssl.so服务都可能受到影响。升级后,您应该重新启动与 OpenSSL 链接的所有服务。
# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0
由 Anatol Pomozov 提供Arch Linux 邮件列表。