태그 보관물: openssl

openssl

Heartbleed : HTTPS 이외의 서비스가 영향을 받습니까? HTTPS를 제공하는 웹 서버에 영향을줍니다. 다른 서비스도

OpenSSL ‘heartbleed’취약성 ( CVE-2014-0160 )은 HTTPS를 제공하는 웹 서버에 영향을줍니다. 다른 서비스도 OpenSSL을 사용합니다. 이러한 서비스도 허풍 같은 데이터 유출에 취약합니까?

나는 특히 생각하고있다

  • sshd
  • 안전한 SMTP, IMAP 등-비둘기장, exim 및 postfix
  • VPN 서버-OpenVPN 및 친구

적어도 내 시스템에서는 OpenSSL 라이브러리에 연결되어 있습니다.



답변

TLS 구현에 OpenSSL을 사용하는 서비스 는 잠재적으로 취약합니다. 이것은 웹 서버 또는 전자 메일 서버 패키지를 통해 제공되는 방식이 아니라 기본 암호화 라이브러리의 약점입니다. 최소한 연결된 모든 서비스는 데이터 유출 취약한 것으로 간주해야합니다 .

잘 알고 있듯이 공격을 함께 연결할 수 있습니다. 예를 들어 Heartbleed를 사용하여 SSL을 손상시키고, 웹 메일 자격 증명을 읽거나, 웹 메일 자격 증명을 사용하여 다른 시스템에 빠르게 액세스하는 등의 가장 간단한 공격이라도 완벽하게 가능합니다 . 사랑의 CEO “ .

Heartbleed Bug 에는 더 많은 정보와 링크 가 있으며 Server Fault 일반 Heartbleed가 유지 관리하는 또 다른 질문에는 이 기능이 무엇이며이를 완화하는 옵션은 무엇입니까? .


답변

ssh 키가 안전 해 보입니다.

OpenSSH는 OpenSSL 버그의 영향을받지 않습니다. OpenSSH는 일부 키 생성 기능에 대해 openssl을 사용하지만 TLS 프로토콜 (특히 공격을 유발하는 TLS 하트 비트 확장)을 사용하지 않습니다. 따라서 openssl을 1.0.1g 또는 1.0.2-beta2로 업데이트하는 것이 좋지만 SSH 손상에 대해 걱정할 필요는 없지만 SSH 키 쌍을 교체하는 것에 대해서는 걱정할 필요가 없습니다. – dr jimbob 6 시간 전

참조 :
https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit


답변

@RobM의 답변 외에도 SMTP에 대해 구체적으로 묻기 때문에 SMTP에 버그를 악용하는 PoC가 이미 있습니다 : https://gist.github.com/takeshixx/10107280


답변

예. 해당 서비스가 OpenSSL을 사용하는 경우 손상 될 수 있습니다

OpenSSL은 예를 들어 이메일 서버 (SMTP, POP 및 IMAP 프로토콜), 채팅 서버 (XMPP 프로토콜), 가상 사설망 (SSL VPN), 네트워크 어플라이언스 및 다양한 클라이언트 측 소프트웨어를 보호하는 데 사용됩니다.

취약성, 영향을받는 운영 체제 등에 대한 자세한 내용은 http://heartbleed.com/을 참조하십시오.


답변

연결된 모든 libssl.so것이 영향을받을 수 있습니다. 업그레이드 한 후 OpenSSL과 연결된 모든 서비스를 다시 시작해야합니다.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Arch Linux 메일 링리스트 에서 Anatol Pomozov 제공 .


답변

다른 서비스는 이것의 영향을받습니다.

HMailServer를 사용하는 사람이 여기에 읽기 시작을 위해 – http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

모든 사람과 모든 사람은 모든 소프트웨어 패키지 개발자에게 업데이트가 필요한지 확인해야합니다.


답변