सवाल परेशान: एचटीटीपीएस प्रभावित अन्य सेवाओं के अलावा?


ओपनएसएसएल 'दिल से जुड़ी' भेद्यता (CVE-2014-0160) HTTPS की सेवा करने वाले वेबसर्वर को प्रभावित करता है। अन्य सेवाएं ओपनएसएसएल का भी उपयोग करती हैं। क्या ये सेवाएं दिल की धड़कन जैसी डेटा रिसाव के लिए भी कमजोर हैं?

मैं विशेष रूप से सोच रहा हूँ

  • sshd
  • सुरक्षित एसएमटीपी, आईएमएपी आदि - कबूतर, एक्ज़िम और पोस्टफिक्स
  • वीपीएन सर्वर - ओपन वीपीएन और दोस्तों

जिनमें से सभी, कम से कम मेरे सिस्टम पर, ओपनएसएसएल पुस्तकालयों से जुड़े हुए हैं।


62
2018-04-08 11:21


मूल


उबंटू के लिए ठीक करें: apt-get अद्यतन && apt-get install openssl libssl1.0.0 और सेवा nginx पुनरारंभ करें; फिर, अपनी निजी कुंजी पुन: जारी करें - Homer6
कमजोर मेजबानों का पता लगाने के लिए इस टूल का उपयोग करें: github.com/titanous/heartbleeder - Homer6
apt-get update उबंटू के लिए अब डाउनग्रेडिंग के बिना पर्याप्त होना चाहिए, पैच कल रात मुख्य भंडार में दिखाई दिया। - Jason C
apt-get अद्यतन पर्याप्त नहीं है। अद्यतन केवल नवीनतम परिवर्तन दिखाता है, अद्यतन प्राप्त करने के बाद UPGRADE लागू होगा। - sjakubowski
मुझे यकीन है कि @ जेसनसी का मतलब है, लेकिन इसे स्पष्ट रूप से स्पष्ट करने के लिए +1। - Craig


जवाब:


कोई भी सेवा जो इसके लिए ओपनएसएसएल का उपयोग करती है टीएलएस कार्यान्वयन संभावित रूप से कमजोर है; अंतर्निहित साइप्रोग्राफी लाइब्रेरी में यह एक कमजोरी है, यह वेब सर्वर या ईमेल सर्वर पैकेज के माध्यम से प्रस्तुत नहीं किया जाता है। आपको डेटा रिसाव के लिए कमजोर सभी लिंक सेवाओं पर विचार करना चाहिए कम से कम

जैसा कि मुझे यकीन है कि आप जानते हैं, चेन हमलों के साथ मिलकर काफी संभव है। सबसे सरल हमलों में भी, यह पूरी तरह से संभव है, उदाहरण के लिए, एसएसएल समझौता करने के लिए हार्टबलेड का उपयोग करें, वेबमेल प्रमाण-पत्र पढ़ें, वेबमेल प्रमाण-पत्रों का उपयोग करें ताकि अन्य सिस्टम तक त्वरित पहुंच प्राप्त हो सके। "प्रिय हेल्पडेस्क, क्या आप मुझे $ foo, प्यार सीईओ के लिए एक नया पासवर्ड दे सकते हैं"

इसमें अधिक जानकारी और लिंक हैं हार्टबलेड बग, और एक सर्वर फॉल्ट नियमित रूप से बनाए रखा एक और सवाल में, हार्दिक: यह क्या है और इसे कम करने के विकल्प क्या हैं?


40
2018-04-08 11:28



"यह अंतर्निहित प्रणाली में एक कमजोरी है, यह एसएसएल / टीएलएस जैसे उच्च स्तर की प्रणाली के माध्यम से प्रस्तुत नहीं किया जाता है" - नहीं, यह गलत है। यह टीएलएस दिल की धड़कन विस्तार के कार्यान्वयन में एक कमजोरी है। यदि आप कभी भी टीएलएस का उपयोग नहीं करते हैं तो आप सुरक्षित हैं। मैं आपके निष्कर्ष से सहमत हूं, हालांकि, आपको अपने विश्लेषण में बहुत सावधान रहना होगा कि जंजीर हमलों के कारण क्या प्रभावित हो सकता है। - Perseids
@ पर्सिड्स आप निश्चित रूप से सही हैं, मैं यह कहने का एक आसानी से समझने योग्य तरीका ढूंढने की कोशिश कर रहा था कि लोग सुरक्षित नहीं हैं क्योंकि वे वेबसर्वर एक्स या एसएमटीपी सर्वर वाई के उस संस्करण को चला रहे हैं। मैं एक संपादन कर रहा हूं उम्मीद है कि चीजों में सुधार होगा, इसलिए इसे इंगित करने के लिए धन्यवाद। - Rob Moir


ऐसा लगता है कि आपकी एसएस-कुंजी सुरक्षित हैं:

ओपनएसएसएच बग द्वारा ओपनएसएसएच प्रभावित नहीं है यह इंगित करने लायक है। जबकि ओपनएसएसएच कुछ प्रमुख पीढ़ी के कार्यों के लिए ओपनएसएल का उपयोग करता है, यह टीएलएस प्रोटोकॉल का उपयोग नहीं करता है (और विशेष रूप से टीएलएस दिल की धड़कन विस्तार जो दिल से प्रभावित हमले)। इसलिए एसएसएच के साथ समझौता किए जाने की चिंता करने की कोई आवश्यकता नहीं है, हालांकि यह अभी भी एक अच्छा विचार है कि ओपनस्ल को 1.0.1 जी या 1.0.2-बीटा 2 अपडेट करना है (लेकिन आपको एसएसएच कीपैयर बदलने की चिंता करने की ज़रूरत नहीं है)। - 6 घंटे पहले डॉ जिम्बोब

देख: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit


35
2018-04-08 13:28



क्या यह अप्रत्यक्ष रूप से प्रभावित नहीं है जैसा कि @RobM द्वारा बताया गया है? किसी ने हार्टबलेड भेद्यता का उपयोग करके स्मृति से रूट का पासवर्ड पढ़ा है, जो भी सिस्टम में गैर-एसएसएच पहुंच प्राप्त करता है और फिर एसएसएच सामान चुराता है। - Thomas Weller
आप इस बग के साथ किसी भी 64k मेमोरी को नहीं पढ़ सकते हैं, केवल 64k जहां आने वाले पैकेट को संग्रहीत किया जाता है। दुर्भाग्यवश बहुत सारी उपहारों को वहां संग्रहित किया जाता है, जैसे सादे टेक्स्ट पासवर्ड, निजी कुंजी और बिल्ली के बच्चे के चित्रों के साथ डिक्रिप्ट किए गए HTTP अनुरोध। - larsr


@RobM के उत्तर के अलावा, और जब से आप विशेष रूप से एसएमटीपी के बारे में पूछते हैं: एसएमटीपी पर बग का शोषण करने के लिए पहले से ही एक पीओसी है: https://gist.github.com/takeshixx/10107280


4
2018-04-08 12:22



विशेष रूप से यह "starttls" कमांड के बाद स्थापित TLS कनेक्शन का शोषण करता है, अगर मैं सही ढंग से कोड पढ़ता हूं। - Perseids


हां, अगर वे ओपनएसएसएल पर भरोसा करते हैं तो उन सेवाओं से समझौता किया जा सकता है

ओपनएसएसएल का उपयोग उदाहरण ईमेल सर्वर (एसएमटीपी, पीओपी और) के लिए सुरक्षा के लिए किया जाता है   आईएमएपी प्रोटोकॉल), चैट सर्वर (एक्सएमपीपी प्रोटोकॉल), वर्चुअल प्राइवेट   नेटवर्क (एसएसएल वीपीएन), नेटवर्क उपकरण और क्लाइंट की विस्तृत विविधता   साइड सॉफ्टवेयर।

भेद्यता, प्रभावित ऑपरेटिंग सिस्टम आदि पर अधिक विस्तृत लिखने के लिए आप चेकआउट कर सकते हैं http://heartbleed.com/


3
2018-04-09 08:41





कुछ भी जो लिंक करता है libssl.so प्रभावित हो सकता है आपको अपग्रेड करने के बाद ओपनएसएसएल से लिंक करने वाली किसी भी सेवा को पुनरारंभ करना चाहिए।

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

अनातोल Pomozov से सौजन्य से आर्क लिनक्स मेलिंग सूची


3
2018-04-09 19:30



Libssl के साथ लिंक और कुछ भी टीएलएस का उपयोग करता है। ओपेन्सश ओपनएसएल का उपयोग करता है लेकिन टीएलएस का उपयोग नहीं करता है, इसलिए यह प्रभावित नहीं होता है। - StasM
@StasM यही कारण है कि मैंने लिखा था प्रभावित हो सकता है, नहीं प्रभावित है। इसके अलावा, ओपनएसएसएच सर्वर ओपनएसएसएल के खिलाफ बिल्कुल लिंक नहीं है। एसएसएच-कीजेन जैसी सुविधाएं, लेकिन इन्हें ओपनएसएसएच द्वारा उपयोग नहीं किया जाता है सर्वर अपने आप। जो मैंने प्रदान किए गए एलएसओफ़ ​​आउटपुट में स्पष्ट रूप से दिखाई देता है - ओपनएसएसएच वहां सूचीबद्ध नहीं है, हालांकि यह सर्वर पर चल रहा है। - Nowaker


इससे अन्य सेवाएं प्रभावित होती हैं।

HMailServer का उपयोग करने वाले किसी भी व्यक्ति के लिए, यहां पढ़ना शुरू करें - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

अपडेट की आवश्यकता होने पर किसी और को सभी सॉफ़्टवेयर पैकेज के डेवलपर्स से जांच करने की आवश्यकता होगी।


1
2018-04-09 17:58