È difficile dire esattamente quali app / servizi sono interessati. Questo perché OpenSSL è una raccolta di codice di programmazione (denominata "libreria") che può essere utilizzata per aggiungere il supporto TLS a un'applicazione o un sistema. TLS (Transport Layer Security) fornisce connessioni protette ed è meglio conosciuto per essere il livello di sicurezza dietro i siti Web HTTPS.
Quindi, se un programmatore stava scrivendo un programma che doveva utilizzare TLS per connettersi a qualcosa, può utilizzare la libreria OpenSSL per aggiungere tale capacità alla propria app.
La stessa libreria OpenSSL viene costantemente migliorata, come molti altri software. Durante questo processo, il bug Heartbleed è stato accidentalmente introdotto in OpenSSL versione 1.0.1, che è stato rilasciato il 14 marzo 2012. È rimasto presente fino alla versione 1.0.1f (inclusa) ed è stato corretto in 1.0.1g, rilasciato il 7 di Aprile 2014.
Ciò significa che qualsiasi applicazione che utilizza quelle versioni OpenSSL per TLS è potenzialmente interessata. Senza dubbio gli sviluppatori interessati hanno delle correzioni in corso.
La correzione è stata successivamente "backportata", il che significa che è stata aggiunta alle versioni di OpenSSL precedenti alla 1.0.1g. Questa è una buona cosa, ed è comunemente fatta per le vulnerabilità, ma ha l'effetto collaterale di rendere più difficile capire se un'app è vulnerabile (dato che non si può dire solo guardando la versione di OpenSSL ).
Per rispondere alle tue domande specifiche:
- SSH non è interessato (SSH è un protocollo diverso da TLS)
- HTTP non è interessato (HTTP è anche un protocollo diverso da TLS), il che significa che un server solo HTTP non sarà interessato.
- Si noti che è possibile fornire HTTPS utilizzando altre librerie, quindi Microsoft IIS Web Server (che non usa OpenSSL) può fornire HTTPS senza essere interessato.
Quindi in sintesi:
Le sole app / servizi interessati sono quelle che utilizzano una versione vulnerabile di OpenSSL per le connessioni TLS, e hanno il supporto heartbeat TLS.
-
Altre librerie TLS (come GnuTLS, SChannel e JSSE) non potrebbero essere influenzate da questo particolare bug, perché esiste solo in versioni specifiche della libreria OpenSSL.
-
Se non sei sicuro, chiedi alla persona / azienda che ha scritto l'applicazione.
-
Se sei uno sviluppatore, scopri quale libreria utilizza l'app per le connessioni TLS e test per sii certo.