Question:
Quels services sont concernés par Heartbleed?
Matthieu Napoli
2014-04-09 15:19:19 UTC
view on stackexchange narkive permalink

Je dois admettre que je ne sais pas exactement quels services sont affectés par Heartbleed. J'ai lu http://heartbleed.com mais tout ce que j'ai lu, c'est qu'OpenSSL est affecté. Super, mais je ne sais pas vraiment où OpenSSL est utilisé.

Donc concrètement, ces services sont-ils concernés:

  • HTTPS (OK celui-ci je pense connaître la réponse )
  • SSH
  • HTTP
  • autres?

Si j'ai un serveur qui ne fournit pas HTTPS (uniquement HTTP), cela signifie-t-il que le serveur ne peut pas être affecté par le bogue?

Voir aussi [Heartbleed: les services autres que HTTPS sont-ils affectés?] (Http://serverfault.com/q/587433/51929)
Quatre réponses:
scuzzy-delta
2014-04-09 15:42:17 UTC
view on stackexchange narkive permalink

Il est difficile de dire exactement quelles applications / services sont concernés. Cela est dû au fait qu'OpenSSL est une collection de code de programmation (appelée «bibliothèque») qui peut être utilisée pour ajouter la prise en charge TLS à une application ou un système. TLS (Transport Layer Security) fournit des connexions sécurisées, et est surtout connu pour être la couche de sécurité derrière les sites Web HTTPS.

Donc, si un programmeur écrivait un programme qui avait besoin d'utiliser TLS pour se connecter à quelque chose, il peut utiliser la bibliothèque OpenSSL pour ajouter cette capacité à leur application.

La bibliothèque OpenSSL elle-même est constamment améliorée, comme beaucoup d'autres logiciels. Au cours de ce processus, le bogue Heartbleed a été accidentellement introduit dans OpenSSL version 1.0.1, qui a été publié le 14 mars 2012. Il est resté présent jusqu'à la version 1.0.1f (incluse) et a été corrigé dans 1.0.1g, publié le 7 de Avril 2014.

Cela signifie que toute application qui utilise ces versions d'OpenSSL pour TLS est potentiellement affectée. Nul doute que les développeurs concernés ont des correctifs en cours.

Le correctif a depuis été «rétroporté», ce qui signifie qu'il a été ajouté aux versions d'OpenSSL antérieures à 1.0.1g. C'est une bonne chose, et cela est couramment fait pour les vulnérabilités, mais cela a pour effet secondaire de rendre plus difficile de savoir si une application est vulnérable (car vous ne pouvez pas le dire simplement en regardant la version OpenSSL ).

Pour répondre à vos questions spécifiques:

  • SSH n'est pas affecté (SSH est un protocole différent de TLS)
  • HTTP n'est pas affecté ( HTTP est également un protocole différent de TLS), ce qui signifie qu'un serveur uniquement HTTP ne sera pas affecté.
  • Notez qu'il est possible de fournir HTTPS en utilisant d'autres bibliothèques - donc les serveurs Web Microsoft IIS (qui ne le use OpenSSL) peut fournir HTTPS sans être affecté.

Donc en résumé:

Les seules applications / services concernés sont ceux qui utilisent une version vulnérable d'OpenSSL pour les connexions TLS, et prennent en charge les pulsations TLS.

  • D'autres bibliothèques TLS (comme GnuTLS, SChannel et JSSE) ne peuvent éventuellement être affectées par ce bogue particulier, car il n'existe que dans des versions spécifiques de la bibliothèque OpenSSL.

  • Si vous n'êtes pas sûr, demandez à la personne / l'entreprise qui a écrit l'application.

  • Si vous êtes un développeur, découvrez quelle bibliothèque vous l'application utilise pour les connexions TLS et le test pour en être certain.

ftexperts
2014-04-10 21:39:25 UTC
view on stackexchange narkive permalink

FTPS (FTP over SSL/TLS) services ARE affected. Here's a list of some FTP server and FTP client vendors and open source projects and their official responses.

http://www.filetransferconsulting.com/managed-file-transfer-heartbleed-ftp-server/

Boogy
2014-04-09 15:51:39 UTC
view on stackexchange narkive permalink

Voici un script que vous pouvez utiliser pour voir si vous êtes vulnérable ou non: http://pastebin.com/1HxgWpTN

Ici, vous avez également des réponses sur ssh : https://superuser.com/questions/739349/does-heartbleed-affect-ssh-keys

Non, Heartbleed n'affecte pas vraiment les clés SSH, vous n'avez donc probablement pas besoin de remplacer les clés SSH que vous avez utilisées.

Premièrement, SSL et SSH sont deux protocoles de sécurité différents pour deux utilisations différentes. De même, OpenSSL et OpenSSH sont également deux logiciels complètement différents, malgré les similitudes dans leurs noms.

Deuxièmement, l'exploit Heartbleed oblige le pair vulnérable OpenSSL TLS / DTLS à renvoyer une mémoire aléatoire de 64 Ko, mais c'est presque certainement limité à la mémoire accessible à ce processus utilisant OpenSSL. Si ce processus utilisant OpenSSL n'a pas accès à votre clé privée SSH, il ne peut pas la divulguer via Heartbleed.

Ce n'est pas aussi grave que "a accès à". Il n'y a pas de vulnérabilité d'exécution à distance ici, donc bien que le compte utilisateur sur lequel le processus s'exécute peut avoir l'autorisation sur les fichiers, les informations ne sont) potentiellement) exposées que si le processus lit réellement le fichier.
Kiwy
2014-04-09 15:42:22 UTC
view on stackexchange narkive permalink

Eh bien, openSSL est une technologie de tunneling pour permettre la cohérence du chiffrement et identifier le service que vous contactez avec un tiers.

HTTPS signifie http sur SSL

dans le cas de SSL, il peut être utilisé dans plusieurs services réseau. les seuls que je connaisse sont

http-s, ftp-s sip sur ssl et openVPN qui utilise également openSSL.

Les services de base http , ftp ou sip ne sont pas chiffrés et sont vulnérables à bien plus mais ils ne le sont pas réactif à l'exploit Heartbleed



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...