Heartbleed: outros serviços além do HTTPS são afetados?

A vulnerabilidade 'heartbleed' do OpenSSL ( CVE-2014-0160 ) afeta servidores da web que servem HTTPS. Outros serviços também usam o OpenSSL. Esses serviços também são vulneráveis ​​ao vazamento de dados do tipo coração partido?

Estou pensando em particular em

• sshd
• SMTP seguro, IMAP etc - dovecot, exim & postfix
• Servidores VPN - openvpn e amigos

todos os quais, pelo menos nos meus sistemas, estão vinculados às bibliotecas OpenSSL.

Qualquer serviço que use o OpenSSL para sua implementação TLS é potencialmente vulnerável; essa é uma fraqueza na biblioteca de criptografia subjacente, não na forma como é apresentada por meio de um servidor da web ou de um pacote de servidores de email. Você deve considerar todos os serviços vinculados vulneráveis ​​ao vazamento de dados pelo menos .

Como tenho certeza, você sabe que é possível encadear ataques juntos. Mesmo nos ataques mais simples, é perfeitamente possível, por exemplo, usar o Heartbleed para comprometer o SSL, ler credenciais de webmail, usar credenciais de webmail para obter acesso a outros sistemas com um rápido "Caro atendimento, você pode me dar uma nova senha por $ foo, amo CEO " .

Há mais informações e links em The Heartbleed Bug , e em outra questão mantida por uma falha regular do servidor, Heartbleed: O que é e quais são as opções para atenuá-lo? .

Parece que suas chaves ssh estão seguras:

Vale ressaltar que o OpenSSH não é afetado pelo bug do OpenSSL. Embora o OpenSSH use o openssl para algumas funções de geração de chave, ele não usa o protocolo TLS (e, em particular, a extensão de pulsação TLS que ataca). Portanto, não há necessidade de se preocupar com o SSH sendo comprometido, embora ainda seja uma boa idéia atualizar o openssl para 1.0.1g ou 1.0.2-beta2 (mas você não precisa se preocupar em substituir os pares de chaves SSH). - dr jimbob 6 horas atrás

Consulte: https://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

Além da resposta do @RobM, e como você pergunta especificamente sobre o SMTP: já existe um PoC para explorar o bug no SMTP: https://gist.github.com/takeshixx/10107280

Sim, esses serviços podem ser comprometidos se confiarem no OpenSSL

O OpenSSL é usado para proteger, por exemplo, servidores de email (protocolos SMTP, POP e IMAP), servidores de bate-papo (protocolo XMPP), redes virtuais privadas (VPN VPNs), dispositivos de rede e uma ampla variedade de softwares do lado do cliente.

Para uma descrição mais detalhada das vulnerabilidades, sistemas operacionais afetados etc., você pode conferir http://heartbleed.com/

Tudo o que libssl.soestiver vinculado poderá ser afetado. Você deve reiniciar qualquer serviço vinculado ao OpenSSL após a atualização.

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

Cortesia de Anatol Pomozov da lista de discussão do Arch Linux .

Outros serviços são afetados por isso.

Para quem usa o HMailServer, comece a ler aqui - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

Todos e todos precisarão consultar os desenvolvedores de todos os pacotes de software para descobrir se são necessárias atualizações.