Heartbleed：HTTPS 以外的服务是否受到影响？

任何使用 OpenSSL 进行TLS实现的服务都可能存在漏洞；这是底层密码学库的一个弱点，而不是它通过 Web 服务器或电子邮件服务器包的呈现方式。您至少应该考虑所有链接的服务都容易受到数据泄漏的影响。

我相信您知道，很有可能将攻击链接在一起。即使在最简单的攻击中，也完全有可能，例如，使用 Heartbleed 破坏 SSL、读取 webmail 凭据、使用 webmail 凭据通过快速“亲爱的帮助台，你能给我一个 $foo 的新密码吗？爱总裁”。

在Heartbleed Bug中有更多信息和链接，在服务器故障常规维护的另一个问题中，Heartbleed：它是什么以及缓解它的选项是什么？.

看来您的 ssh 密钥是安全的：

值得指出的是，OpenSSH 不受 OpenSSL 错误的影响。虽然 OpenSSH 确实将 openssl 用于某些密钥生成功能，但它不使用 TLS 协议（尤其是心脏出血攻击的 TLS 心跳扩展）。因此，无需担心 SSH 受到威胁，尽管将 openssl 更新为 1.0.1g 或 1.0.2-beta2 仍然是一个好主意（但您不必担心替换 SSH 密钥对）。– jimbob 博士 6 小时前

请参阅： https ://security.stackexchange.com/questions/55076/what-should-one-do-about-the-heartbleed-openssl-exploit

除了@RobM 的回答，并且由于您专门询问 SMTP：已经有一个 PoC 用于利用 SMTP 上的错误：https ://gist.github.com/takeshixx/10107280

是的，如果这些服务依赖于 OpenSSL，它们可能会受到损害

OpenSSL 用于保护电子邮件服务器（SMTP、POP 和 IMAP 协议）、聊天服务器（XMPP 协议）、虚拟专用网络 (SSL VPN)、网络设备和各种客户端软件。

如需更详细地了解漏洞、受影响的操作系统等，您可以查看http://heartbleed.com/

任何与之链接的东西都libssl.so可能受到影响。升级后，您应该重新启动与 OpenSSL 链接的任何服务。

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | grep libssl | sort -u
bacula-fd: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/libssl.so.1.0.0
php-fpm: /usr/lib/php/modules/openssl.so
python2: /usr/lib/libssl.so.1.0.0
python2: /usr/lib/python2.7/lib-dynload/_ssl.so
python: /usr/lib/libssl.so.1.0.0
ruby-timer-thr: /usr/lib/libssl.so.1.0.0
ruby: /usr/lib/libssl.so.1.0.0

由Arch Linux 邮件列表中的 Anatol Pomozov 提供。

其他服务受此影响。

对于任何使用 HMailServer 的人，从这里开始阅读 - http://www.hmailserver.com/forum/viewtopic.php?f=7&t=26276

任何人和每个人都需要与所有软件包的开发人员核实，以了解是否需要更新。