Quali servizi sono interessati da Heartbleed?

18

Devo ammettere che sono confuso su quali servizi siano influenzati da Heartbleed. Ho letto link ma tutto quello che ho letto è che OpenSSL è interessato. Ottimo, ma non so dove sia usato OpenSSL.

Quindi, in concreto, questi servizi sono interessati:

  • HTTPS (OK, penso di conoscere la risposta)
  • SSH
  • HTTP
  • altri?

Se ho un server che non fornisce HTTPS (solo HTTP), significa che il server non può essere influenzato dal bug?

    
posta Matthieu Napoli 09.04.2014 - 12:19
fonte

4 risposte

18

È difficile dire esattamente quali app / servizi sono interessati. Questo perché OpenSSL è una raccolta di codice di programmazione (denominata "libreria") che può essere utilizzata per aggiungere il supporto TLS a un'applicazione o un sistema. TLS (Transport Layer Security) fornisce connessioni protette ed è meglio conosciuto per essere il livello di sicurezza dietro i siti Web HTTPS.

Quindi, se un programmatore stava scrivendo un programma che doveva utilizzare TLS per connettersi a qualcosa, può utilizzare la libreria OpenSSL per aggiungere tale capacità alla propria app.

La stessa libreria OpenSSL viene costantemente migliorata, come molti altri software. Durante questo processo, il bug Heartbleed è stato accidentalmente introdotto in OpenSSL versione 1.0.1, che è stato rilasciato il 14 marzo 2012. È rimasto presente fino alla versione 1.0.1f (inclusa) ed è stato corretto in 1.0.1g, rilasciato il 7 di Aprile 2014.

Ciò significa che qualsiasi applicazione che utilizza quelle versioni OpenSSL per TLS è potenzialmente interessata. Senza dubbio gli sviluppatori interessati hanno delle correzioni in corso.

La correzione è stata successivamente "backportata", il che significa che è stata aggiunta alle versioni di OpenSSL precedenti alla 1.0.1g. Questa è una buona cosa, ed è comunemente fatta per le vulnerabilità, ma ha l'effetto collaterale di rendere più difficile capire se un'app è vulnerabile (dato che non si può dire solo guardando la versione di OpenSSL ).

Per rispondere alle tue domande specifiche:

  • SSH non è interessato (SSH è un protocollo diverso da TLS)
  • HTTP non è interessato (HTTP è anche un protocollo diverso da TLS), il che significa che un server solo HTTP non sarà interessato.
  • Si noti che è possibile fornire HTTPS utilizzando altre librerie, quindi Microsoft IIS Web Server (che non usa OpenSSL) può fornire HTTPS senza essere interessato.

Quindi in sintesi:

Le sole app / servizi interessati sono quelle che utilizzano una versione vulnerabile di OpenSSL per le connessioni TLS, e hanno il supporto heartbeat TLS.

  • Altre librerie TLS (come GnuTLS, SChannel e JSSE) non potrebbero essere influenzate da questo particolare bug, perché esiste solo in versioni specifiche della libreria OpenSSL.

  • Se non sei sicuro, chiedi alla persona / azienda che ha scritto l'applicazione.

  • Se sei uno sviluppatore, scopri quale libreria utilizza l'app per le connessioni TLS e test per sii certo.

risposta data 09.04.2014 - 12:42
fonte
6

I servizi FTPS (FTP su SSL / TLS) SONO interessati. Ecco un elenco di alcuni server FTP e fornitori di client FTP e progetti open source e le loro risposte ufficiali.

link

    
risposta data 10.04.2014 - 18:39
fonte
4

Ecco uno script che puoi usare per vedere se sei vulnerabile o no: link

Qui hai anche una risposta su ssh: link

No, Heartbleed doesn't really affect SSH keys, so you probably don't need to replace the SSH keys you've been using.

First, SSL and SSH are two different security protocols for two different uses. Likewise, OpenSSL and OpenSSH are also two completely different software packages, despite the similarities in their names.

Second, the Heartbleed exploit causes the vulnerable OpenSSL TLS/DTLS peer to return a random 64kB of memory, but it's almost certainly limited to memory accessible to that OpenSSL-using process. If that OpenSSL-using process doesn't have access to your SSH private key, then it can't leak it via Heartbleed.

    
risposta data 09.04.2014 - 12:51
fonte
0

Bene openSSL è una tecnologia di tunneling che consente la coerenza della crittografia e identifica il servizio che contatti con una terza parte.

HTTPS significa http su SSL

nel caso di SSL, può essere utilizzato in diversi servizi di rete. l'unica che conosco sono

link

I servizi di base http , ftp o sip non sono crittografati e sono vulnerabili a molte più cose ma non rispondono all'exploit Heartbleed

    
risposta data 09.04.2014 - 12:42
fonte

Leggi altre domande sui tag