Vraag Heartbleed: zijn andere services dan HTTPS getroffen?


De 'heartbleed' kwetsbaarheid van OpenSSL (CVE-2014-0160) beïnvloedt webservers die HTTPS dienen. Andere services gebruiken ook OpenSSL. Zijn deze services ook kwetsbaar voor dataverlies door hartkloppingen?

Ik denk in het bijzonder aan

  • sshd
  • beveiligde SMTP, IMAP etc - duiventil, exim & postfix
  • VPN-servers - openvpn en vrienden

die allemaal op mijn systemen zijn gekoppeld aan de OpenSSL-bibliotheken.


62
2018-04-08 11:21


oorsprong


Fix voor Ubuntu: apt-get update && apt-get install openssl libssl1.0.0 && service nginx restart; geef vervolgens je privésleutels opnieuw uit - Homer6
Gebruik deze tool om de kwetsbare hosts te detecteren: github.com/titanous/heartbleeder - Homer6
apt-get update zou nu voldoende moeten zijn voor Ubuntu zonder downgrading, de patch verscheen gisteravond in de hoofdrepository. - Jason C
apt-get update is NIET genoeg. update toont alleen de laatste wijzigingen, apt-get UPGRADE is dan van toepassing na de update. - sjakubowski
Ik weet zeker dat dat is wat @JasonC bedoelde, maar +1 om het expliciet duidelijk te maken. - Craig


antwoorden:


Elke service die OpenSSL gebruikt voor zijn TLS implementatie is potentieel kwetsbaar; dit is een zwak punt in de onderliggende cyrptografiebibliotheek, niet in hoe het wordt gepresenteerd via een webserver of e-mailserverpakket. U moet overwegen alle gekoppelde services kwetsbaar te maken voor gegevenslekken tenminste.

Zoals je vast wel weet, is het goed mogelijk om aanvallen samen te ketenen. Zelfs bij de eenvoudigste aanvallen is het perfect mogelijk om bijvoorbeeld Heartbleed te gebruiken om SSL in gevaar te brengen, webmailreferenties te lezen, webmailreferenties te gebruiken om snel toegang te krijgen tot andere systemen "Geachte helpdesk, kunt u mij een nieuw wachtwoord geven voor $ foo, love CEO".

Er is meer informatie en links in De Heartbleed Bug, en in een andere vraag die door een Server Fault regelmatig wordt onderhouden, Heartbleed: wat is het en wat zijn opties om het te verminderen?.


40
2018-04-08 11:28



"dit is een zwakte in het onderliggende systeem, niet in hoe het wordt gepresenteerd via een systeem van een hoger niveau, zoals SSL / TLS" - Nee, dat is verkeerd. Het is een zwakte in de implementatie van de TLS heartbeat-extensie. Als u TLS nooit gebruikt, bent u veilig. Ik ben het echter wel met je conclusie eens dat je heel voorzichtig moet zijn in je analyse van wat mogelijk beïnvloed wordt door aaneengeketende aanvallen. - Perseids
@Perseids natuurlijk heb je gelijk, ik probeerde een gemakkelijk te begrijpen manier te vinden om te zeggen dat mensen niet veilig zijn omdat ze deze versie van webserver X of die versie van SMTP-server Y draaien. Ik ben bezig met een bewerking dat zal hopelijk de dingen verbeteren, dus bedankt dat je erop wees. - Rob Moir


Het lijkt erop dat je SSH-sleutels veilig zijn:

Het is de moeite waard om erop te wijzen dat OpenSSH niet wordt beïnvloed door de OpenSSL-bug. Hoewel OpenSSH openssl gebruikt voor sommige sleutelgeneratiefuncties, maakt het geen gebruik van het TLS-protocol (en in het bijzonder de TLS heartbeat-extensie die aanvallen hartelt). U hoeft zich dus geen zorgen te maken dat SSH in gevaar wordt gebracht, hoewel het nog steeds een goed idee is om openssl te updaten naar 1.0.1g of 1.0.2-beta2 (maar u hoeft zich geen zorgen te maken over het vervangen van SSH-keypairs). - dr jimbob 6 uur geleden

Zien: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit


35
2018-04-08 13:28



Wordt dit niet indirect beïnvloed door @RobM? Iemand leest het root-wachtwoord uit het geheugen met behulp van de Heartbleed-kwetsbaarheid, krijgt alle niet-SSH-toegang tot het systeem en steelt vervolgens de SSH-dingen. - Thomas Weller
Je kunt met deze bug GEEN 64k geheugen lezen, slechts 64k in de buurt van waar het binnenkomende pakket is opgeslagen. Helaas worden hier veel goodies opgeslagen, zoals gedecodeerde HTTP-verzoeken met leesbare wachtwoorden, privésleutels en foto's van kittens. - larsr


Naast het antwoord van @RobM en omdat u specifiek naar SMTP vraagt: er is al een PoC voor misbruik van de bug op SMTP: https://gist.github.com/takeshixx/10107280


4
2018-04-08 12:22



In het bijzonder maakt het gebruik van de TLS-verbinding die is vastgesteld na de opdracht "starttls", als ik de code correct lees. - Perseids


Ja, deze services kunnen worden aangetast als ze op OpenSSL zijn gebaseerd

OpenSSL wordt gebruikt om bijvoorbeeld e-mailservers te beschermen (SMTP, POP en   IMAP-protocollen), chatservers (XMPP-protocol), virtual private   netwerken (SSL VPN's), netwerkapparatuur en een grote verscheidenheid aan clients   software aan de zijkant.

Voor een meer gedetailleerd schrijven over de kwetsbaarheden, getroffen besturingssystemen, enz. Kunt u afrekenen http://heartbleed.com/


3
2018-04-09 08:41





Alles dat linkt naar libssl.so kan worden beïnvloed. U moet alle services die naar OpenSSL linken opnieuw starten nadat u een upgrade hebt uitgevoerd.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Met dank aan Anatol Pomozov uit Arch Linux mailinglijst.


3
2018-04-09 19:30



Alles dat libssl linkt en TLS gebruikt. Openssh gebruikt openssl maar maakt geen gebruik van TLS, dus het wordt niet beïnvloed. - StasM
@StasM Dat is waarom ik schreef kan worden beïnvloed, niet wordt getroffen. Ook OpenSSH server is GEEN link met OpenSSL. Hulpprogramma's zoals ssh-keygen doen dit, maar ze worden niet gebruikt door OpenSSH server zelf. Dat is duidelijk zichtbaar in de lsof-uitvoer die ik heb geleverd - OpenSSH wordt daar niet vermeld, hoewel het op de server wordt uitgevoerd. - Nowaker


Andere diensten worden hierdoor beïnvloed.

Voor iedereen die HMailServer gebruikt, begin hier te lezen - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Iedereen en iedereen moet bij de ontwikkelaars van alle softwarepakketten navragen of updates nodig zijn.


1
2018-04-09 17:58