OpenSSL的“心脏病”漏洞( CVE-2014-0160 )影响了服务HTTPS的networking服务器。 其他服务也使用OpenSSL。 这些服务是否也容易受到心跳般的数据泄露?
我特别想
所有这些,至less在我的系统上,都链接到OpenSSL库。
任何使用OpenSSL进行TLS实施的服务都可能受到攻击。 这是底层cyrptography库的一个弱点,而不是它通过web服务器或电子邮件服务器包提供的方式。 至less应该考虑所有链接的服务容易泄露数据。
我相信你知道,把攻击连在一起是完全可能的。 即使在最简单的攻击中,也可以使用Heartbleed来破解SSL,阅读networking邮件凭据,使用networking邮件凭据以快速访问其他系统“Dear helpdesk,您可以给我一个新的$ foo密码,爱CEO“ 。
“Heartbleed Bug”中有更多的信息和链接,而另外一个由服务器故障定期维护的问题, Heartbleed:它是什么,有什么select来缓解它? 。
看来你的ssh-keys是安全的:
值得指出的是,OpenSSH不受OpenSSL错误的影响。 虽然OpenSSH对某些密钥生成函数使用了openssl,但是它并没有使用TLS协议(尤其是TLS心跳扩展使心跳加速)。 因此,不必担心SSH被攻破,尽pipe将openssl更新为1.0.1g或1.0.2-beta2(但您不必担心replaceSSH密钥对)仍然是个好主意。 – jimbob博士6个小时前
请参阅: https : //security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit
除了@RobM的答案之外,还有你特别提到SMTP的问题:已经有了一个用于利用SMTP漏洞的PoC: https : //gist.github.com/takeshixx/10107280
是的,如果这些服务依赖于OpenSSL,则可能会受到影响
OpenSSL用于保护例如电子邮件服务器(SMTP,POP和IMAP协议),聊天服务器(XMPP协议),虚拟专用networking(SSL VPN),networking设备和各种各样的客户端软件。
有关这些漏洞的详细信息,受影响的操作系统等,您可以loginhttp://heartbleed.com/
任何与libssl.so
链接的东西都可能受到影响。 升级后,您应该重新启动与OpenSSL链接的所有服务。
# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u bacula-fd: /usr/lib/libssl.so.1.0.0 php-fpm: /usr/lib/libssl.so.1.0.0 php-fpm: /usr/lib/php/modules/openssl.so python2: /usr/lib/libssl.so.1.0.0 python2: /usr/lib/python2.7/lib-dynload/_ssl.so python: /usr/lib/libssl.so.1.0.0 ruby-timer-thr: /usr/lib/libssl.so.1.0.0 ruby: /usr/lib/libssl.so.1.0.0
感谢Arch Linux邮件列表中的Anatol Pomozov。
其他服务受此影响。
对于任何使用HMailServer的人,请阅读这里 – http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276
任何人和每个人都需要检查所有软件包的开发人员,以确定是否需要更新。