Heartbleed: des services autres que HTTPS sont-ils concernés?

La vulnérabilité «heartbleed» d’OpenSSL ( CVE-2014-0160 ) affecte les serveurs Web servant le protocole HTTPS. D'autres services utilisent également OpenSSL. Ces services sont-ils également vulnérables aux fuites de données analogues à celles du cœur

Je pense en particulier à

• sshd
• sécurisé SMTP, IMAP, etc. - pigeonnier, exim et postfix
• Serveurs VPN - OpenVPN et amis

qui, sur mes systèmes au moins, sont liés aux bibliothèques OpenSSL.

Tout service utilisant OpenSSL pour sa mise en œuvre TLS est potentiellement vulnérable. Il s'agit d'une faiblesse de la bibliothèque de cryptographie sous-jacente, et non de la manière dont elle est présentée via un serveur Web ou un package de serveur de messagerie. Vous devez au moins considérer tous les services liés vulnérables à la fuite de données .

Comme vous le savez sans doute, il est tout à fait possible d'enchaîner les attaques. Même dans les il est parfaitement possible les attaques les plus simples, par exemple, utiliser heartbleed pour compromettre SSL, lire les informations d' identification webmail, utilisez les informations d' identification de webmail pour accéder à d' autres systèmes avec un rapide « help desk Cher, pouvez - vous me donner un nouveau mot de passe pour foo $, amour PDG " .

Il y a plus d'informations et de liens dans The Heartbleed Bug , et dans une autre question posée par un habitué de Server Fault, Heartbleed: Qu'est-ce que c'est et quelles sont les options pour l'atténuer? .

Il semble que vos clés ssh sont en sécurité:

Il convient de souligner qu'OpenSSH n'est pas affecté par le bogue OpenSSL. Bien que OpenSSH utilise openssl pour certaines fonctions de génération de clé, il n’utilise pas le protocole TLS (et en particulier l’extension de pulsation TLS attaquée par heartbleed). Vous n'avez donc pas à craindre de compromettre SSH, bien que ce soit toujours une bonne idée de mettre OpenSL à jour vers 1.0.1g ou 1.0.2-beta2 (mais vous n'avez pas à vous soucier de remplacer les paires de clés SSH). - dr jimbob Il y a 6 heures

Voir: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

En plus de la réponse de @RobM, et puisque vous posez des questions sur SMTP en particulier: il existe déjà un PoC pour exploiter le bogue sur SMTP: https://gist.github.com/takeshixx/10107280

Oui, ces services peuvent être compromis s’ils reposent sur OpenSSL

OpenSSL est utilisé pour protéger, par exemple, les serveurs de messagerie (protocoles SMTP, POP et IMAP), les serveurs de discussion (protocole XMPP), les réseaux privés virtuels (VPN SSL), les appliances réseau et une grande variété de logiciels côté client.

Pour une description plus détaillée des vulnérabilités, des systèmes d'exploitation affectés, etc., vous pouvez consulter http://heartbleed.com/

Tout ce qui est lié à libssl.sopeut être affecté. Vous devez redémarrer tout service lié à OpenSSL après la mise à niveau.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Avec l'aimable autorisation d'Anatol Pomozov de la liste de diffusion Arch Linux .

Cela affecte d’autres services.

Pour ceux qui utilisent HMailServer, commencez à lire ici - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Tout le monde devra consulter les développeurs de tous les packages logiciels pour savoir si des mises à jour sont nécessaires.