web-dev-qa-db-ja.com

ハートブリードとルーター/ ASA /その他

さて、数時間前にスタック交換の質問フィードを通じてハートブリードについて最初に聞いたところ、しばらくしてパニックになり、OpenSSLを介してセキュリティで保護しているWebサーバーは内部ネットワーク上にのみあることがわかりました。とにかくパッチを当てましたが、今は他のサービスが脆弱かどうかについて頭を悩ませています。具体的には、次のようなルータータイプのデバイスについて疑問に思っています。

  • Cisco ASA
  • DD-WRTルーター
  • VPNをサポートするNAS

これらの一部は、SSH、ポイントツーポイントまたはサイトツーサイトVPN、管理インターフェイス用に実行するミニWebサーバーなどにOpenSSLを使用していると思います。しかし、実行しているバージョンを見つけようと壁にぶつかってきました。それら。たとえば、私たちのDD-WRTデバイスでは、ファイルシステムでOpenSSLコマンドを見つけることさえできなかったので、OpenSSLを使用するのが間違っている可能性があります。

ASAが実行されている8.4が0.9.8上にあり、したがって安全であることはかなり確信しています(ただし、ASDMまたはtelnetインターフェイスでこれを特定できなかったため、確認が本当に必要です)。それが真実である場合は、 ASAの古いバージョンも同様に安全であると想定します。

誰かがこの種のデバイスに関する情報を持っていますか?

編集:私は thesemeta の質問を読んでいます(それらはSOにありますが、私はそれらがスタックにとらわれないかもしれないと思います)理解しようとします正しい答えは実際にはここにあるものの組み合わせかもしれないと思うので、ここでベストプラクティスは何ですか。これはおそらく私のせいだろう。なぜなら、これは実際には複合的な質問そのものだと思うからだ。私は自分の回答を投稿し、いくつかのデバイスに関する利用可能な情報と、影響を受ける正確なDD-WRTビルド番号について見つけた情報を組み合わせてそれを受け入れることを検討しましたが、皆さんがほとんどを提供していることを考えると、それは一種の失礼ではないかと思いますそれとそのように私は誰もが受け入れられた回答担当者を否定します。私は(それらのmeta.SOリンクから)受け入れられている慣行が自分の条件によって最良のものを選び、残りを賛成することを知っているようです(後者は行われます)が、ここでの異なる答えは、私の異なる部分に等しく良いです質問。何かご意見は? (それでも、この編集はそれ自体のmeta.secの質問である必要がありますか?質問が他のメタですでに何度も尋ねられているように思われる場合は、そうするのをためらいます)

opensslzero-dayheartbleed
28
Chris O'Kelly

ASAに関するCiscoサポートエンジニアからの素晴らしい投稿を見つけました。

ただし、ASA(適応型セキュリティアプライアンス)のOpenSSLバージョンを見つけようとしている場合は、ASAリリースノートからこのバージョンを確認できます。関心のある特定のASAイメージのリリースノートにある「オープンソース」ノートを調べてください。たとえば、ASA 8.4リリースノートには、「関連ドキュメント」というタイトルのセクションがあり、「ASAシリーズドキュメント」へのリンクがあります。そこから、「オープンソースライセンス」へのリンクがあります。 ASA 8.4コードで実行されるOpenSSLバージョンが「0.9.8f」であることを示す「オープンソース」ページに移動します。

このため、OpenSSLバージョン0.9.8fの一部を使用しているため、 8.4(x)9.1(x) も脆弱ではありません。

11
Merlin_the_Wizz

DD-WRTはOpenSSL 1.0.1を使用しており、脆弱です。 22時間前にtracページに更新が投稿されました: http://svn.dd-wrt.com/browser/src/router/openssl

詳細については、CHANGESファイルを表示できます。

6
cscracker

私のDD-WRTルーターで、ssh経由でアクセス

まず、/ usr/lib/libssl *のバージョンが0.9.8であることを確認できました。また、上記のlibで文字列を実行すると、v 0.9.8が表示されます。

$ strings /usr/lib/libssl.so.0.9.8 | grep OpenS
OpenSSLDie
SSLv2 part of OpenSSL 0.9.8l 5 Nov 2009
SSLv3 part of OpenSSL 0.9.8l 5 Nov 2009
TLSv1 part of OpenSSL 0.9.8l 5 Nov 2009
DTLSv1 part of OpenSSL 0.9.8l 5 Nov 2009
OpenSSL 0.9.8l 5 Nov 2009

pS私もEOFを取得しましたが、それはテストの一部を実装していません( http://filippo.io/Heartbleed/faq.html#wentwrong =)

4
nhed

From Cisco Security Advisory on OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products (アドバイザリーID:Cisco-sa-20140409-heartbleed、2014年4月9日):

脆弱な製品

次のシスコ製品がこの脆弱性の影響を受けます。

  • Cisco AnyConnectセキュアモビリティクライアントfor iOS
  • CiscoデスクトップコラボレーションエクスペリエンスDX650
  • Cisco Unified 7900、8900、9900シリーズIP電話
  • Cisco TelePresence Video Communication Server(VCS)

他のシスコ製品がこの脆弱性の影響を受ける可能性があります。影響を受ける製品のリストは、調査が継続されると更新されます。

そして

脆弱性のないことが確認された製品

次のシスコ製品は分析済みであり、この脆弱性の影響を受けません。

  • Cisco Adaptive Security Appliance(ASA)ソフトウェア
  • Cisco ACEアプリケーションコントロールエンジン
  • デスクトッププラットフォーム向けCisco AnyConnectセキュアモビリティクライアント
  • Android向けCisco AnyConnectセキュアモビリティクライアント
  • Cisco CSS 11500シリーズコンテンツサービススイッチ
4
user43863

Synologyは影響を受けますが、明日DSM 5およびDSM 4.3のアップデートを準備しています。 DSM 4.2のパッチは1週間で配信されます。

Synologyから入手したリリースから(私はジャーナリストです):

OpenSSLのハートブリードの脆弱性から保護されたSynology®DSM 5.0

台湾の台北—2014年4月11日—Synology® Inc.は本日、OpenSSLソフトウェアの脆弱性CVE-2014-0160(Heartbleedバグとも呼ばれる)を解決する最新のDSM 5.0-4458 Update 2をリリースしました。

OpenSSLは現在インターネット上で最大の暗号化ライブラリの1つであり、多くのWebサイトで使用されているため、Synologyはこの問題を軽減するために直ちに対策を講じています。

  • DSM 5.0およびDSM 4.3を実行しているDiskStationおよびRackStationの場合、コントロールパネルからDSM 5.0-4458 Update 2を適用し、SSL証明書を更新することを強くお勧めします(詳細はセキュリティアドバイザリをご覧ください)。
  • DSM 4.2を実行しているDiskStationまたはRackStationの場合、パッチは1週間で配信されます。
  • MyDS Centerサーバーにはパッチが適用されており、安全に使用できます。ただし、MyDSセンターのユーザーは、個人情報の安全性を確保するためにMyDSパスワードを変更することを強くお勧めします。

Synologyは、データとシステムのセキュリティを主要な指針の1つとして評価しており、潜在的な脅威を防ぐための信頼できるセキュリティ対策をソリューションに提供するためのリソースを投入し続けます。最新のDSMバージョンにアップグレードした後にユーザーがシステムのサポートを必要とする場合、またはさらに質問がある場合は、security @ synology.comまでご連絡ください。

2
film_girl

dD-WRTに関しては、バージョンによって異なります。 「現在の」DD-WRTリリースの多くは、ハートビート機能の導入(2012)およびそれに関連するopensslへのセキュリティの脆弱性よりも前のリリースです。 2012年以降に作成されたDD-WRTは脆弱です。私の内部ルーターで実行しているDD-WRTのバージョンは11/12からであり、ハートブリードテストを実行すると、それらに対してfilippo.ioからクローンを作成すると、「ERROR:EOF」が表示されます。 :-/私のインターネット向けルーター(DD-WRTを実行していない)は問題ありません。

また、現在のリリース(5.0)より前のバージョンを実行しているsynologyも確認しましたが、脆弱です。 synologyがこれに対する修正をリリースし、適用する機会があるまで、インターネットからのアクセスを無効にしました。

ここにリストがあります:

https://isc.sans.edu/forums/diary/Heartbleed+vendor+notifications/17929

2
Buddy Palumbo