Heartbleed: Sind andere Dienste als HTTPS betroffen?

Die OpenSSL-Sicherheitsanfälligkeit "Heartbleed" ( CVE-2014-0160 ) betrifft Webserver, die HTTPS bereitstellen . Andere Dienste verwenden ebenfalls OpenSSL. Sind diese Dienste auch anfällig für Heartbleed-ähnliche Datenlecks?

Ich denke insbesondere an

• sshd
• sicheres SMTP, IMAP usw. - Dovecot, Exim & Postfix
• VPN-Server - OpenVPN und Freunde

Alle, zumindest auf meinen Systemen, sind mit den OpenSSL-Bibliotheken verknüpft.

Jeder Dienst, der OpenSSL für seine TLS- Implementierung verwendet, ist potenziell anfällig. Dies ist eine Schwachstelle in der zugrunde liegenden Cyrptography-Bibliothek, nicht in der Darstellung über einen Webserver oder ein E-Mail-Server-Paket. Sie sollten mindestens alle verknüpften Dienste als anfällig für Datenverlust betrachten .

Wie Sie sicher wissen, ist es durchaus möglich, Angriffe miteinander zu verketten. Selbst bei den einfachsten Angriffen ist es durchaus möglich, beispielsweise mit Heartbleed SSL zu gefährden, Webmail-Anmeldeinformationen zu lesen und mit Webmail-Anmeldeinformationen über einen schnellen "Sehr geehrter Helpdesk, können Sie mir ein neues Passwort für $ foo geben, liebe CEO " .

Es gibt weitere Informationen und Links in The Heartbleed Bug und in einer anderen Frage, die von einem regulären Serverfehler gepflegt wird : Heartbleed: Was ist das und welche Möglichkeiten gibt es, dies zu verringern? .

Ihre SSH-Schlüssel scheinen sicher zu sein:

Es ist erwähnenswert, dass OpenSSH nicht vom OpenSSL-Fehler betroffen ist. Während OpenSSH für einige Funktionen zur Schlüsselgenerierung openssl verwendet, verwendet es nicht das TLS-Protokoll (und insbesondere nicht die TLS-Heartbeat-Erweiterung, die Heartbleed-Angriffe ermöglicht). Es besteht also kein Grund zur Sorge, dass SSH kompromittiert wird, obwohl es immer noch eine gute Idee ist, openssl auf 1.0.1g oder 1.0.2-beta2 zu aktualisieren (aber Sie müssen sich nicht darum kümmern, SSH-Schlüsselpaare zu ersetzen). - Dr. Jimbob vor 6 Stunden

Siehe: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

Zusätzlich zur Antwort von @RobM und da Sie speziell nach SMTP fragen: Es gibt bereits einen PoC zum Ausnutzen des Fehlers in SMTP: https://gist.github.com/takeshixx/10107280

Ja, diese Dienste können kompromittiert werden, wenn sie auf OpenSSL basieren

OpenSSL wird beispielsweise zum Schutz von E-Mail-Servern (SMTP-, POP- und IMAP-Protokolle), Chatservern (XMPP-Protokoll), virtuellen privaten Netzwerken (SSL-VPNs), Netzwerkgeräten und einer Vielzahl von clientseitiger Software verwendet.

Weitere Informationen zu Sicherheitslücken, betroffenen Betriebssystemen usw. finden Sie unter http://heartbleed.com/.

Alles, was mit verknüpft ist, libssl.sokann betroffen sein. Sie sollten jeden Dienst, der mit OpenSSL verknüpft ist, nach dem Upgrade neu starten.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Mit freundlicher Genehmigung von Anatol Pomozov von Arch Linux Mailing-Liste .

Andere Dienste sind davon betroffen.

Wenn Sie HMailServer verwenden, lesen Sie hier: http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Jeder muss sich bei den Entwicklern aller Softwarepakete erkundigen, ob Aktualisierungen erforderlich sind.