나는 내 서버(Debian Wheezy)를 패치할 준비를 하고 있는데 소스(Apache 2.4, PHP, MySQL)에서 많은 것을 빌드하기 때문에 고통스러울 것입니다.
패치를 시작하기 전에 어떤 OpenSSL 서비스가 누출에 취약한지 더 잘 이해하고 싶습니다. 분명히 HTTP/HTTPS 서비스는 취약합니다. SMTP, IMAP 및 POP는 어떻습니까? SSH? 또는어느영향을 받는 OpenSSL 버전을 사용하는 공개 서비스에 대해 알고 있어야 합니까?
내 서버에는 OS를 설치하는 데 사용하는 IPMI/KVM(Supermicro)도 있습니다. 동일한 컴퓨터에서 HTTP/HTTPS를 통해 액세스할 수 있지만 다른 IP 주소를 사용합니다. 이것도 깨지기 쉬운지 궁금합니다. 내장된 Supermicro 웹 서버가 OpenSSL을 사용하는지 잘 모르겠습니다. 그렇다면 서버 제공업체에 펌웨어 패치를 적용하도록 요청할 것입니다.
답변1
분명히 HTTP/HTTPS 서비스는 취약합니다.
후자만 ;)
SMTP, IMAP 및 POP는 어떻습니까?
가지다온라인그리고오프라인메일 서버(및 웹 서버)를 테스트합니다. 데비안을 실행 중이라면 소프트웨어가 openSSL < 1.0.1 버전으로 컴파일되었을 가능성이 크며 이때 취약점이 시작됩니다. 따라서 바이너리가 정적으로 컴파일된 경우(아래 참조) 먼저 Check로 시작하세요. 재구축의 어려움을 원하지 않는다면 이렇게 하세요.
SSH?
SSH는 이 기능을 사용하지 않으며 영향을 받지 않습니다.
OpenSSL을 지원하는 일부 서버는 어떤 이유로든 정적으로 연결된 것처럼 보이기 때문에 Debian에서는 단순히 공유 라이브러리를 교체하는 것만으로는 충분하지 않습니다. 확인하려면 ldd바이너리를 실행하세요. 애플리케이션이 SSL/TLS를 사용하고 libssl 또는 libgnutls에 대한 링크를 제공하지 않는다는 것을 알고 있다면 애플리케이션이 컴파일된 것입니다. Heartbleed 테스트 중 하나가 실패하면 전체 애플리케이션을 다시 빌드해야 합니다.