La vulnérabilité "heartbleed" d'OpenSSL ( CVE-2014-0160 ) affecte les serveurs web servant HTTPS. D'autres services utilisent également OpenSSL. Ces services sont-ils également vulnérables à une fuite de données de type Heartbleed ?
Je pense en particulier à
qui sont toutes, sur mes systèmes du moins, liées aux bibliothèques OpenSSL.
Tout service qui utilise OpenSSL pour son TLS est potentiellement vulnérable ; il s'agit d'une faiblesse dans la bibliothèque de cyrptographie sous-jacente, et non dans la manière dont elle est présentée via un serveur web ou un paquet de serveurs de messagerie. Vous devez considérer tous les services liés comme vulnérables à la fuite de données au moins .
Comme vous le savez sûrement, il est tout à fait possible d'enchaîner les attaques. Même dans le cadre des attaques les plus simples, il est parfaitement possible, par exemple, d'utiliser Heartbleed pour compromettre SSL, lire les informations d'identification d'un courrier électronique, utiliser les informations d'identification d'un courrier électronique pour accéder à d'autres systèmes par un rapide "Cher service d'assistance, pouvez-vous me donner un nouveau mot de passe pour $foo, cher CEO". .
Vous trouverez de plus amples informations et des liens dans Le bogue Heartbleed et dans une autre question gérée par un régulier de Server Fault, Heartbleed : Qu'est-ce que c'est et quelles sont les options pour l'atténuer ? .
Il semble que tes clés ssh soient sûres :
Il est important de noter qu'OpenSSH n'est pas affecté par le bug d'OpenSSL. Bien qu'OpenSSH utilise openssl pour certaines fonctions de génération de clés, il n'utilise pas le protocole TLS (et en particulier l'extension TLS heartbeat que les attaques heartbleed). Il n'y a donc pas lieu de s'inquiéter de la compromission de SSH, bien que ce soit toujours une bonne idée de mettre à jour openssl vers 1.0.1g ou 1.0.2-beta2 (mais vous n'avez pas à vous soucier du remplacement des paires de clés SSH). - dr jimbob Il y a 6 heures
En complément de la réponse de @RobM, et puisque vous posez une question spécifique sur le SMTP : il existe déjà un PoC pour exploiter le bug sur le SMTP : https://gist.github.com/takeshixx/10107280
Oui, ces services peuvent être compromis s'ils reposent sur OpenSSL.
OpenSSL est utilisé pour protéger par exemple les serveurs de messagerie (SMTP, POP et IMAP), les serveurs de discussion (protocole XMPP), les réseaux privés virtuels virtuels (VPN SSL), les appareils réseau et une grande variété de logiciels côté de logiciels côté client.
Pour une présentation plus détaillée des vulnérabilités, des systèmes d'exploitation concernés, etc. http://heartbleed.com/
Tout ce qui est lié à libssl.so peuvent être affectés. Vous devez redémarrer tout service lié à OpenSSL après avoir effectué la mise à niveau.
# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0Avec l'aimable autorisation d'Anatol Pomozov de Liste de diffusion Arch Linux .
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
