¿A qué servicios afecta Heartbleed?

Es difícil decir exactamente qué aplicaciones / servicios están afectados. Esto se debe a que OpenSSL es una colección de código de programación (denominada "biblioteca") que se puede usar para agregar soporte TLS a una aplicación o sistema. TLS (Seguridad de la capa de transporte) proporciona conexiones seguras y es mejor conocido por ser la capa de seguridad detrás de los sitios web de HTTPS.

Entonces, si un programador escribiera un programa que necesitaba usar TLS para conectarse a algo, puede usar la biblioteca OpenSSL para agregar esa capacidad a su aplicación.

La biblioteca OpenSSL se está mejorando constantemente, como muchos otros bits de software. Durante este proceso, el error Heartbleed se introdujo accidentalmente en la versión 1.0.1 de OpenSSL, que se lanzó el 14 de marzo de 2012. Permaneció presente hasta la versión 1.0.1f (incluida) y se corrigió en 1.0.1g, se lanzó el 7 de marzo Abril de 2014.

Esto significa que cualquier aplicación que use esas versiones OpenSSL para TLS puede verse afectada. Sin duda, los desarrolladores afectados tienen correcciones en curso.

La solución ya se ha "contraportado", lo que significa que se ha agregado a las versiones de OpenSSL antes de 1.0.1g. Esto es bueno , y se hace comúnmente para las vulnerabilidades, pero tiene el efecto secundario de hacer que sea más difícil saber si una aplicación es vulnerable (ya que no se puede saber con solo mirar la versión de OpenSSL ).

Para responder a sus preguntas específicas:

• SSH no está afectado (SSH es un protocolo diferente a TLS)
• HTTP no está afectado (HTTP también es un protocolo diferente a TLS), lo que significa que un servidor solo HTTP no se verá afectado.
• Tenga en cuenta que es posible proporcionar HTTPS utilizando otras bibliotecas, por lo que los servidores web Microsoft IIS (que no usan OpenSSL) pueden proporcionar HTTPS sin verse afectados.

Así que en resumen:

Las únicas aplicaciones / servicios que se ven afectados son aquellas que usan una versión vulnerable de OpenSSL para conexiones TLS, y son compatibles con TLS heartbeat.

• Otras bibliotecas TLS (como GnuTLS, SChannel y JSSE) no pueden ser afectadas por este error en particular, porque solo existe en versiones específicas de la biblioteca OpenSSL.

• Si no está seguro, pregunte a la persona / compañía que escribió la solicitud.

• Si es un desarrollador, descubra qué biblioteca está usando su aplicación para las conexiones TLS y prueba para estar seguro.

FTPS (FTP sobre SSL / TLS) están afectados. Aquí hay una lista de algunos proveedores de servidores FTP y clientes FTP, así como proyectos de código abierto y sus respuestas oficiales.

enlace

Aquí hay un script que puede usar para ver si es vulnerable o no: enlace

Aquí también tienes respuestas sobre ssh: enlace

  

No, Heartbleed no afecta realmente a las claves SSH, por lo que probablemente no lo hagas   debe reemplazar las claves SSH que ha estado usando.

     

Primero, SSL y SSH son dos protocolos de seguridad diferentes para dos   diferentes usos Del mismo modo, OpenSSL y OpenSSH también son dos   diferentes paquetes de software, a pesar de las similitudes en sus nombres.

     

En segundo lugar, el exploit Heartbleed causa el vulnerable OpenSSL TLS / DTLS   Pare devolver un 64kB aleatorio de memoria, pero es casi seguro   Limitado a la memoria accesible a ese proceso de uso de OpenSSL. Si eso   El proceso de uso de OpenSSL no tiene acceso a su clave privada SSH,   entonces no puede filtrarlo a través de Heartbleed.

Bueno, openSSL es una tecnología de túnel para permitir la coherencia del cifrado e identificar el servicio que se comunica con un tercero.

HTTPS significa http sobre SSL

en el caso de SSL, se puede utilizar en varios servicios de red. los únicos que conozco son

enlace

Los servicios básicos http , ftp o sip no están cifrados y son vulnerables a muchas más cosas, pero no responden al ataque de Heartbleed