Heartbleed : HTTPS 이외의 서비스가 영향을 받습니까?

65

OpenSSL 'heartbleed'취약성 ( CVE-2014-0160 )은 HTTPS를 제공하는 웹 서버에 영향을줍니다. 다른 서비스도 OpenSSL을 사용합니다. 이러한 서비스도 허풍 같은 데이터 유출에 취약합니까?

나는 특히 생각하고있다

sshd
안전한 SMTP, IMAP 등-비둘기장, exim 및 postfix
VPN 서버-OpenVPN 및 친구

적어도 내 시스템에서는 OpenSSL 라이브러리에 연결되어 있습니다.

security openssl heartbleed

— 플럽
소스

우분투 수정 : apt-get update && apt-get install openssl libssl1.0.0 && service nginx restart; 그런 다음 개인 키를 다시 발급하십시오

— Homer6

이 도구를 사용하여 취약한 호스트를 탐지하십시오. github.com/titanous/heartbleeder

— Homer6

1

apt-get update다운 그레이드없이 Ubuntu에 충분할 것입니다. 패치는 지난 밤 주 저장소에 나타납니다.

— Jason C

10

apt-get 업데이트로는 충분하지 않습니다. 업데이트는 최신 변경 사항 만 표시합니다. apt-get UPGRADE는 업데이트 후에 적용됩니다.

— sjakubowski

1

나는 그것이 @JasonC의 의미라고 확신하지만, 명확하게 밝히기 위해 +1입니다.

— Craig

40

TLS 구현에 OpenSSL을 사용하는 서비스 는 잠재적으로 취약합니다. 이것은 웹 서버 또는 전자 메일 서버 패키지를 통해 제공되는 방식이 아니라 기본 암호화 라이브러리의 약점입니다. 최소한 연결된 모든 서비스는 데이터 유출 에 취약한 것으로 간주해야합니다 .

잘 알고 있듯이 공격을 함께 연결할 수 있습니다. 예를 들어 Heartbleed를 사용하여 SSL을 손상시키고, 웹 메일 자격 증명을 읽거나, 웹 메일 자격 증명을 사용하여 다른 시스템에 빠르게 액세스하는 등의 가장 간단한 공격이라도 완벽하게 가능합니다 . 사랑의 CEO " .

Heartbleed Bug 에는 더 많은 정보와 링크 가 있으며 Server Fault 일반 Heartbleed가 유지 관리하는 또 다른 질문에는 이 기능이 무엇이며이를 완화하는 옵션은 무엇입니까? .

— 롭 모아 르
소스

3

"이는 SSL / TLS와 같은 상위 시스템을 통해 제공되는 방식이 아니라 기본 시스템의 약점입니다."-아니요, 잘못되었습니다. TLS 하트 비트 확장 구현의 약점입니다. TLS를 사용하지 않으면 안전합니다. 그러나 연쇄 공격으로 인해 영향을받을 수있는 부분에 대한 분석에 매우주의해야한다는 결론에 동의합니다.

— Perseids

6

@Perseids 물론 당신은 사람들 이이 버전의 웹 서버 X 또는 해당 버전의 SMTP 서버 Y를 실행하고 있기 때문에 사람들이 안전하지 않다는 것을 쉽게 이해할 수있는 방법을 찾으려고 노력했습니다. 나는 편집하고 있습니다. 희망적으로 개선 될 것입니다. 지적 해 주셔서 감사합니다.

— Rob Moir

35

ssh 키가 안전 해 보입니다.

OpenSSH는 OpenSSL 버그의 영향을받지 않습니다. OpenSSH는 일부 키 생성 기능에 대해 openssl을 사용하지만 TLS 프로토콜 (특히 공격을 유발하는 TLS 하트 비트 확장)을 사용하지 않습니다. 따라서 openssl을 1.0.1g 또는 1.0.2-beta2로 업데이트하는 것이 좋지만 SSH 손상에 대해 걱정할 필요는 없지만 SSH 키 쌍을 교체하는 것에 대해서는 걱정할 필요가 없습니다. – dr jimbob 6 시간 전

참조 : https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

— Simme
소스

@RobM에 명시된 바와 같이 간접적으로 영향을받지 않습니까? 누군가는 Heartbleed 취약점을 사용하여 메모리에서 루트 암호를 읽고 시스템에 대한 SSH 이외의 액세스 권한을 얻은 다음 SSH를 훔칩니다.

— Thomas Weller

1

이 버그로 64k의 메모리를 읽을 수 없으며 들어오는 패킷이 저장된 곳 근처에서만 64k 만 읽을 수 있습니다. 불행히도 평문 암호, 개인 키 및 새끼 고양이 그림이있는 해독 된 HTTP 요청과 같은 많은 것들이 저장되는 경향이 있습니다.

— larsr

4

@RobM의 답변 외에도 SMTP에 대해 구체적으로 묻기 때문에 SMTP에 버그를 악용하는 PoC가 이미 있습니다 : https://gist.github.com/takeshixx/10107280

— 마틴
소스

4

특히 코드를 올바르게 읽으면 "starttls"명령 후에 설정된 TLS 연결을 이용합니다.

— Perseids

3

예. 해당 서비스가 OpenSSL을 사용하는 경우 손상 될 수 있습니다

OpenSSL은 예를 들어 이메일 서버 (SMTP, POP 및 IMAP 프로토콜), 채팅 서버 (XMPP 프로토콜), 가상 사설망 (SSL VPN), 네트워크 어플라이언스 및 다양한 클라이언트 측 소프트웨어를 보호하는 데 사용됩니다.

취약성, 영향을받는 운영 체제 등에 대한 자세한 내용은 http://heartbleed.com/을 참조하십시오.

— 베드로
소스

3

연결된 모든 libssl.so것이 영향을받을 수 있습니다. 업그레이드 한 후 OpenSSL과 연결된 모든 서비스를 다시 시작해야합니다.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Arch Linux 메일 링리스트 에서 Anatol Pomozov 제공 .

— Nowaker
소스

2

libssl과 연결되고 TLS를 사용하는 모든 것. Openssh는 openssl을 사용하지만 TLS를 사용하지 않으므로 영향을받지 않습니다.

— StasM

2

@StasM 내가 쓴 이유 는 영향을받지 않고 영향을받을 수 있습니다 . 또한 OpenSSH 서버 는 OpenSSL에 전혀 연결되지 않습니다. ssh-keygen과 같은 유틸리티는 사용하지만 OpenSSH 서버 자체 에서는 사용하지 않습니다 . 내가 제공 한 lsof 출력에서 명확하게 볼 수 있습니다-OpenSSH는 서버에서 실행되지만 거기에 나열되지 않습니다.

— Nowaker April

1

다른 서비스는 이것의 영향을받습니다.

HMailServer를 사용하는 사람이 여기에 읽기 시작을 위해 - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

모든 사람과 모든 사람은 모든 소프트웨어 패키지 개발자에게 업데이트가 필요한지 확인해야합니다.

— 티커
소스