Il est difficile de dire exactement quelles applications / services sont concernés. Cela est dû au fait qu'OpenSSL est une collection de code de programmation (appelée «bibliothèque») qui peut être utilisée pour ajouter la prise en charge TLS à une application ou un système. TLS (Transport Layer Security) fournit des connexions sécurisées, et est surtout connu pour être la couche de sécurité derrière les sites Web HTTPS.
Donc, si un programmeur écrivait un programme qui avait besoin d'utiliser TLS pour se connecter à quelque chose, il peut utiliser la bibliothèque OpenSSL pour ajouter cette capacité à leur application.
La bibliothèque OpenSSL elle-même est constamment améliorée, comme beaucoup d'autres logiciels. Au cours de ce processus, le bogue Heartbleed a été accidentellement introduit dans OpenSSL version 1.0.1, qui a été publié le 14 mars 2012. Il est resté présent jusqu'à la version 1.0.1f (incluse) et a été corrigé dans 1.0.1g, publié le 7 de Avril 2014.
Cela signifie que toute application qui utilise ces versions d'OpenSSL pour TLS est potentiellement affectée. Nul doute que les développeurs concernés ont des correctifs en cours.
Le correctif a depuis été «rétroporté», ce qui signifie qu'il a été ajouté aux versions d'OpenSSL antérieures à 1.0.1g. C'est une bonne chose, et cela est couramment fait pour les vulnérabilités, mais cela a pour effet secondaire de rendre plus difficile de savoir si une application est vulnérable (car vous ne pouvez pas le dire simplement en regardant la version OpenSSL ).
Pour répondre à vos questions spécifiques:
- SSH n'est pas affecté (SSH est un protocole différent de TLS)
- HTTP n'est pas affecté ( HTTP est également un protocole différent de TLS), ce qui signifie qu'un serveur uniquement HTTP ne sera pas affecté.
- Notez qu'il est possible de fournir HTTPS en utilisant d'autres bibliothèques - donc les serveurs Web Microsoft IIS (qui ne le use OpenSSL) peut fournir HTTPS sans être affecté.
Donc en résumé:
Les seules applications / services concernés sont ceux qui utilisent une version vulnérable d'OpenSSL pour les connexions TLS, et prennent en charge les pulsations TLS.
-
D'autres bibliothèques TLS (comme GnuTLS, SChannel et JSSE) ne peuvent éventuellement être affectées par ce bogue particulier, car il n'existe que dans des versions spécifiques de la bibliothèque OpenSSL.
-
Si vous n'êtes pas sûr, demandez à la personne / l'entreprise qui a écrit l'application.
-
Si vous êtes un développeur, découvrez quelle bibliothèque vous l'application utilise pour les connexions TLS et le test pour en être certain.