Die OpenSSL-Sicherheitsanfälligkeit "Heartbleed" ( CVE-2014-0160 ) betrifft Webserver, die HTTPS bereitstellen . Andere Dienste verwenden ebenfalls OpenSSL. Sind diese Dienste auch anfällig für Heartbleed-ähnliche Datenlecks?
Ich denke insbesondere an
- sshd
- sicheres SMTP, IMAP usw. - Dovecot, Exim & Postfix
- VPN-Server - OpenVPN und Freunde
Alle, zumindest auf meinen Systemen, sind mit den OpenSSL-Bibliotheken verknüpft.
security
openssl
heartbleed
Flup
quelle
quelle
apt-get update
Sollte Ubuntu nun ohne Downgrade ausreichen, erschien der Patch gestern Abend im Haupt-Repository.Antworten:
Jeder Dienst, der OpenSSL für seine TLS- Implementierung verwendet, ist potenziell anfällig. Dies ist eine Schwachstelle in der zugrunde liegenden Cyrptography-Bibliothek, nicht in der Darstellung über einen Webserver oder ein E-Mail-Server-Paket. Sie sollten mindestens alle verknüpften Dienste als anfällig für Datenverlust betrachten .
Wie Sie sicher wissen, ist es durchaus möglich, Angriffe miteinander zu verketten. Selbst bei den einfachsten Angriffen ist es durchaus möglich, beispielsweise mit Heartbleed SSL zu gefährden, Webmail-Anmeldeinformationen zu lesen und mit Webmail-Anmeldeinformationen über einen schnellen "Sehr geehrter Helpdesk, können Sie mir ein neues Passwort für $ foo geben, liebe CEO " .
Es gibt weitere Informationen und Links in The Heartbleed Bug und in einer anderen Frage, die von einem regulären Serverfehler gepflegt wird : Heartbleed: Was ist das und welche Möglichkeiten gibt es, dies zu verringern? .
quelle
Ihre SSH-Schlüssel scheinen sicher zu sein:
Siehe: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit
quelle
Zusätzlich zur Antwort von @RobM und da Sie speziell nach SMTP fragen: Es gibt bereits einen PoC zum Ausnutzen des Fehlers in SMTP: https://gist.github.com/takeshixx/10107280
quelle
Ja, diese Dienste können kompromittiert werden, wenn sie auf OpenSSL basieren
Weitere Informationen zu Sicherheitslücken, betroffenen Betriebssystemen usw. finden Sie unter http://heartbleed.com/.
quelle
Alles, was mit verknüpft ist,
libssl.so
kann betroffen sein. Sie sollten jeden Dienst, der mit OpenSSL verknüpft ist, nach dem Upgrade neu starten.Mit freundlicher Genehmigung von Anatol Pomozov von Arch Linux Mailing-Liste .
quelle
Andere Dienste sind davon betroffen.
Wenn Sie HMailServer verwenden, lesen Sie hier: http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276
Jeder muss sich bei den Entwicklern aller Softwarepakete erkundigen, ob Aktualisierungen erforderlich sind.
quelle