Frage Heartbleed: Sind andere als HTTPS-Dienste betroffen?


Die OpenSSL-Heartbleed-Schwachstelle (CVE-2014-0160) betrifft Webserver mit HTTPS. Andere Dienste verwenden ebenfalls OpenSSL. Sind diese Dienste auch anfällig für Heartbleed-ähnliche Datenlecks?

Ich denke insbesondere an

  • sshd
  • Sicheres SMTP, IMAP usw. - Dovecot, Exim & Postfix
  • VPN-Server - openvpn und Freunde

All dies ist zumindest auf meinen Systemen mit den OpenSSL-Bibliotheken verknüpft.


62
2018-04-08 11:21


Ursprung


Fix für Ubuntu: apt-get update && apt-get installieren openssl libssl1.0.0 && service nginx restart; Dann geben Sie Ihre privaten Schlüssel erneut aus - Homer6
Verwenden Sie dieses Tool, um die gefährdeten Hosts zu erkennen: github.com/titanous/heartbleeder - Homer6
apt-get update sollte für Ubuntu nun ohne Downgrade reichen, erschien der Patch letzte Nacht im Haupt-Repository. - Jason C
apt-get update ist NICHT genug. update zeigt nur die letzten Änderungen an, apt-get UPGRADE wird dann nach dem Update angewendet. - sjakubowski
Ich bin mir sicher, dass @JasonC das so gemeint hat, aber +1, um es klar zu machen. - Craig


Antworten:


Jeder Dienst, der OpenSSL für seine verwendet TLS die Implementierung ist potenziell anfällig; Dies ist eine Schwäche in der zugrunde liegenden Cyrptography-Bibliothek, nicht in der Art, wie sie über einen Webserver oder ein E-Mail-Server-Paket präsentiert wird. Sie sollten alle verbundenen Dienste als anfällig für Datenlecks betrachten wenigstens.

Wie Sie sicher wissen, ist es durchaus möglich, Angriffe zusammen zu ketten. Selbst bei den einfachsten Angriffen ist es beispielsweise möglich, Heartbleed zu verwenden, um SSL zu kompromittieren, Webmail-Zugangsdaten zu lesen und Webmail-Zugangsdaten zu verwenden, um schnell auf andere Systeme zuzugreifen "Lieber Helpdesk, kannst du mir ein neues Passwort für $ foo geben, liebe CEO".

Es gibt mehr Informationen und Links in Der Heartbleed-Fehlerund in einer anderen Frage, die regelmäßig von einem Server Fault gepflegt wird, Heartbleed: Was ist es und welche Möglichkeiten gibt es, es zu mildern?.


40
2018-04-08 11:28



"Dies ist eine Schwachstelle im zugrunde liegenden System, nicht darin, wie es über ein höheres System wie SSL / TLS dargestellt wird" - Nein, das ist falsch. Es ist eine Schwachstelle bei der Implementierung der TLS-Heartbeat-Erweiterung. Wenn Sie TLS nie verwenden, sind Sie in Sicherheit. Ich stimme Ihrer Schlussfolgerung zu, dass Sie in Ihrer Analyse sehr vorsichtig sein müssen, was möglicherweise durch verkettete Angriffe betroffen sein könnte. - Perseids
@Perseids du hast natürlich Recht, ich habe versucht eine leicht verständliche Möglichkeit zu finden, zu sagen, dass Leute nicht sicher sind, weil sie diese Version von Webserver X oder die Version von SMTP-Server Y laufen lassen. Ich mache gerade eine Bearbeitung Das wird hoffentlich die Dinge verbessern, also danke, dass du das herausgebracht hast. - Rob Moir


Es scheint, dass deine ssh-Schlüssel sicher sind:

Es ist erwähnenswert, dass OpenSSH nicht vom OpenSSL-Fehler betroffen ist. Während OpenSSH openssl für einige Schlüsselgenerierungsfunktionen verwendet, verwendet es nicht das TLS-Protokoll (und insbesondere die TLS-Heartbeat-Erweiterung, die Heartbleed-Angriffe). Sie müssen sich also keine Sorgen machen, dass SSH kompromittiert ist. Es ist dennoch eine gute Idee, openssl auf 1.0.1g oder 1.0.2-beta2 zu aktualisieren (Sie müssen sich aber keine Gedanken darüber machen, ob Sie SSH-Schlüsselpaare ersetzen). - Dr. Jimbob vor 6 Stunden

Sehen: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit


35
2018-04-08 13:28



Ist es nicht indirekt von @RobM betroffen? Jemand liest das Passwort von root mit der Heartbleed-Schwachstelle aus dem Speicher, erhält den SSH-Zugriff, der nicht auf das System zugreift, und stiehlt dann das SSH-Zeug. - Thomas Weller
Sie können mit diesem Fehler KEIN 64k Speicher lesen, nur 64k in der Nähe, wo das eingehende Paket gespeichert ist. Leider werden dort viele Goodies gespeichert, wie zum Beispiel entschlüsselte HTTP-Anfragen mit Klartext-Passwörtern, private Schlüssel und Bilder von Kätzchen. - larsr


Neben der Antwort von @RobM, und da Sie speziell nach SMTP fragen, gibt es bereits ein PoC zur Ausnutzung des Fehlers bei SMTP: https://gist.github.com/takeshixx/10107280


4
2018-04-08 12:22



Insbesondere nutzt es die TLS-Verbindung, die nach dem Befehl "starttls" eingerichtet wird, wenn ich den Code richtig lese. - Perseids


Ja, diese Dienste können kompromittiert werden, wenn sie auf OpenSSL angewiesen sind

OpenSSL wird zum Beispiel zum Schutz von E-Mail-Servern (SMTP, POP und   IMAP-Protokolle), Chat-Server (XMPP-Protokoll), virtual private   Netzwerke (SSL VPNs), Netzwerk-Appliances und eine Vielzahl von Clients   Seiten-Software.

Für eine ausführlichere Beschreibung der Sicherheitslücken, der betroffenen Betriebssysteme usw. können Sie eine Überprüfung durchführen http://heartbleed.com/


3
2018-04-09 08:41





Alles was dazu gehört libssl.so kann betroffen sein. Nach dem Upgrade sollten Sie alle Dienste, die mit OpenSSL verbunden sind, neu starten.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Mit freundlicher Genehmigung von Anatol Pomozov aus Arch Linux Mailingliste.


3
2018-04-09 19:30



Alles was mit libssl verlinkt ist und TLS verwendet. Openssh verwendet openssl, verwendet aber kein TLS, daher ist es nicht betroffen. - StasM
@StasM Deshalb habe ich geschrieben kann betroffen seinnicht ist betroffen. Auch OpenSSH Server verlinkt NICHT überhaupt gegen OpenSSL. Dienstprogramme wie ssh-keygen tun dies, aber sie werden nicht von OpenSSH verwendet Server selbst. Was in der von mir bereitgestellten Ausgabe von lsof deutlich zu sehen ist - OpenSSH ist dort nicht aufgeführt, obwohl es auf dem Server läuft. - Nowaker


Andere Dienste sind davon betroffen.

Für alle, die HMailServer verwenden, lesen Sie hier - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Jeder und jeder muss sich mit den Entwicklern aller Softwarepakete erkundigen, ob Updates benötigt werden.


1
2018-04-09 17:58