伤心欲绝：HTTPS以外的服务是否受到影响？

OpenSSL的“心脏出血”漏洞（CVE-2014-0160）影响服务HTTPS的Web服务器。其他服务也使用OpenSSL。这些服务是否还容易遭受类似流血的数据泄漏？

我特别在想

• sshd
• 安全SMTP，IMAP等-dovecot，exim和postfix
• VPN服务器-OpenVPN和朋友

至少在我的系统上，所有这些都链接到OpenSSL库。

使用OpenSSL进行TLS实施的任何服务都可能受到攻击；这是底层密码学库的弱点，而不是通过Web服务器或电子邮件服务器包的呈现方式。您应该至少考虑所有链接服务容易受到数据泄漏的影响。

如您所知，您很有可能将攻击链接在一起。即使是最简单的攻击，也完全可以使用例如Heartbleed来破坏SSL，读取Webmail凭据，使用Webmail凭据来快速访问“其他系统”，“亲爱的服务台，您能给我$ foo的新密码，爱首席执行官”。

在Heartbleed Bug中有更多信息和链接，在Server Fault常规维护的另一个问题Heartbleed中，它是什么？有什么缓解方法？。

看来您的ssh键很安全：

值得指出的是，OpenSSH不受OpenSSL错误的影响。尽管OpenSSH确实将openssl用于某些密钥生成功能，但并未使用TLS协议（尤其是令人发泄攻击的TLS心跳扩展）。因此，无需担心SSH会受到威胁，尽管将openssl更新为1.0.1g或1.0.2-beta2仍然是一个好主意（但您不必担心替换SSH密钥对）。– jimbob博士6小时前

参见：https : //security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

除了@RobM的答案之外，并且由于您特别询问SMTP：已经存在一个利用SMTP上的bug的PoC：https : //gist.github.com/takeshixx/10107280

是的，如果这些服务依靠OpenSSL可能会受到威胁

OpenSSL用于保护例如电子邮件服务器（SMTP，POP和IMAP协议），聊天服务器（XMPP协议），虚拟专用网络（SSL VPN），网络设备和各种客户端软件。

有关漏洞，受影响的操作系统等的详细信息，请访问http://heartbleed.com/。

与之链接的任何内容都libssl.so可能会受到影响。升级后，应重新启动与OpenSSL链接的所有服务。

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

由Arch Linux邮件列表中的Anatol Pomozov提供。

其他服务也受此影响。

对于任何人谁使用HMailServer，开始阅读在这里- http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

任何人和所有人都需要与所有软件包的开发人员进行核对，以了解是否需要更新。