हार्दिक: क्या HTTPS के अलावा अन्य सेवाएं प्रभावित हैं?

OpenSSL 'हार्दिक' भेद्यता ( CVE-2014-0160 ) HTTPS की सेवा करने वाले webservers को प्रभावित करता है। अन्य सेवाएँ भी OpenSSL का उपयोग करती हैं। क्या ये सेवाएं भी हार्दिक की तरह डेटा रिसाव की चपेट में हैं?

मैं विशेष रूप से सोच रहा हूँ

• sshd
• सुरक्षित SMTP, IMAP आदि - dovecot, exim और postfix
• वीपीएन सर्वर - ओपेनवोन और दोस्त

सभी, मेरे सिस्टम पर कम से कम, ओपनएसएसएल पुस्तकालयों से जुड़े हुए हैं।

कोई भी सेवा जो अपने टीएलएस कार्यान्वयन के लिए ओपनएसएसएल का उपयोग करती है, संभावित रूप से असुरक्षित है; यह अंतर्निहित सीरपोग्राफ़ी लाइब्रेरी में एक कमजोरी है, न कि यह कैसे एक वेब सर्वर या ईमेल सर्वर पैकेज के माध्यम से प्रस्तुत किया जाता है। आपको कम से कम डेटा लीकेज से जुड़ी सभी जुड़ी सेवाओं पर विचार करना चाहिए ।

जैसा कि मुझे यकीन है कि आप जागरूक हैं, यह एक साथ श्रृंखला के हमलों के लिए काफी संभव है। यहां तक ​​कि सरलतम हमलों में भी, यह पूरी तरह से संभव है, उदाहरण के लिए, एसएसएल से समझौता करने के लिए हार्दिक का उपयोग करें, वेबमेल क्रेडेंशियल्स पढ़ें, त्वरित "प्रिय हेल्पडेस्क के साथ अन्य प्रणालियों तक पहुंच प्राप्त करने के लिए वेबमेल क्रेडेंशियल्स का उपयोग करें , क्या आप मुझे $ फू के लिए एक नया पासवर्ड दे सकते हैं, लव सीईओ ” ।

द हार्टलेड बग में अधिक जानकारी और लिंक हैं , और सर्वर फॉल्ट द्वारा नियमित रूप से बनाए गए एक अन्य प्रश्न में, हार्टलेड: यह क्या है और इसे कम करने के लिए क्या विकल्प हैं? ।

ऐसा लगता है कि आपकी ssh-keys सुरक्षित हैं:

यह इंगित करने योग्य है कि ओपनएसएसएच ओपनएसएसएल बग से प्रभावित नहीं है। जबकि OpenSSH कुछ मुख्य-पीढ़ी के कार्यों के लिए Opensl का उपयोग करता है, यह TLS प्रोटोकॉल का उपयोग नहीं करता है (और विशेष रूप से TLS दिल की धड़कन का विस्तार जो दिल के दौरे को बढ़ाता है)। तो SSH के साथ समझौता किए जाने के बारे में चिंता करने की कोई जरूरत नहीं है, हालांकि अभी भी खुलने का समय अद्यतन करने के लिए 1.0.1g या 1.0.2-Beta2 पर अपडेट करना अच्छा है (लेकिन आपको SSH कीपर्स को बदलने के बारे में चिंता करने की आवश्यकता नहीं है)। - 6 घंटे पहले jimbob डॉ

देखें: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

@RobM के उत्तर के अलावा, और जब से आप SMTP के बारे में विशेष रूप से पूछते हैं: SMTP पर बग का दोहन करने के लिए पहले से ही एक PoC है: https://gist.github.com/takeshixx/10107280

यदि वे ओपनएसएसएल पर भरोसा करते हैं, तो उन सेवाओं से समझौता किया जा सकता है

ओपनएसएसएल का उपयोग उदाहरण के लिए ईमेल सर्वर (एसएमटीपी, पीओपी और आईएमएपी प्रोटोकॉल), चैट सर्वर (एक्सएमपीपी प्रोटोकॉल), वर्चुअल प्राइवेट नेटवर्क (एसएसएल वीपीएन), नेटवर्क उपकरणों और क्लाइंट साइड सॉफ्टवेयर की विस्तृत विविधता के लिए किया जाता है।

कमजोरियों, प्रभावित ऑपरेटिंग सिस्टम आदि पर अधिक विस्तृत लिखने के लिए आप http://heartbleed.com/ पर चेकआउट कर सकते हैं।

कुछ भी जो लिंक के साथ libssl.soप्रभावित हो सकता है। आपके द्वारा नवीनीकरण के बाद OpenSSL के साथ लिंक करने वाली किसी भी सेवा को पुनः आरंभ करना चाहिए।

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

आर्क लिनक्स मेलिंग सूची से अनातोल पोमोज़ोव के सौजन्य से ।

अन्य सेवाएं इससे प्रभावित होती हैं।

जो कोई भी HMailServer का उपयोग करता है, उसके लिए यहां पढ़ना शुरू करें - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

किसी को भी और सभी को अपडेट करने की जरूरत है, यह पता लगाने के लिए सभी सॉफ्टवेयर पैकेज के डेवलपर्स के साथ जांच करने की आवश्यकता होगी।