PDA

Просмотр полной версии : Критическая уязвимость в OpenSSL


Admin
08.04.2014, 11:55
Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик.

Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:

Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
CentOS 6.5, OpenSSL 1.0.1e-15)
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

Дистрибутивы с более ранними версиями OpenSSL: Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server.

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно.

fsb-sasha
08.04.2014, 14:57
Подскажите как на Centos 6.5 и на Debian 7 - переустановить или обновить? какие команды нужно прописывать?
Спасибо.

Admin
08.04.2014, 15:10
В данных дистрибутивах уже есть новая версия с патчем закрывающим данную уязвимость.
Необходимо подключиться к серверу по ssh и выполнить следующую команду:

В CentOS:

yum update openssl

В Debian:


apt-get update
apt-get upgrade

fsb-sasha
08.04.2014, 15:33
root@robotu:~# apt-get upgrade openssl
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages will be upgraded:
apache2 apache2-mpm-prefork apache2-suexec apache2-utils apache2.2-bin
apache2.2-common base-files debian-archive-keyring dpkg file gnupg gpgv grep
gzip host isc-dhcp-client isc-dhcp-common libapache2-mod-php5 libc-bin libc6
libc6-i386 libcurl3 libexpat1 libgc1c2 libgcrypt11 libgnutls26
libgssapi-krb5-2 libgssrpc4 libk5crypto3 libkadm5clnt-mit7 libkadm5srv-mit7
libkdb5-4 libkrb5-3 libkrb5support0 libldap-2.4-2 libmagic1 libmysqlclient16
libpq5 libssl0.9.8 libx11-6 libx11-data libxcb1 libxext6 libxml2 linux-base
linux-image-2.6.32-5-amd64 locales mutt mysql-client-5.1 mysql-common
mysql-server-5.1 mysql-server-core-5.1 openssh-client openssh-server openssl
php5 php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt php5-mysql
php5-xsl proftpd-basic tzdata
66 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 99.4 MB of archives.
After this operation, 19.5 kB disk space will be freed.
Do you want to continue [Y/n]?


а как именно обновить openssl? а то все пакеты обновлять слишком рисковано

Admin
08.04.2014, 16:16
Попробуйте так:

aptitude reinstall openssl

fsb-sasha
08.04.2014, 16:22
Попробуйте так:

но это так переустановить но не обновить, в Centos 6.5 в репозитории вижу есть только OpenSSL 1.0.1e-fips 11 Feb 2013

подскажите как вручную обновить?

или как пересобрать с опцией DOPENSSL_NO_HEARTBEATS - на debian и centos

Admin
08.04.2014, 16:46
но это так переустановить но не обновить

При переустановке пакета, должна быть установлена новая версия.

в Centos 6.5 в репозитории вижу есть только OpenSSL 1.0.1e-fips 11 Feb 2013

Видимо не там смотрите.
В CentOS 6, последняя версия openssl-1.0.1e-16.el6_5.7

подскажите как вручную обновить?

В Debian нет возможности стандартными средствами обновить только один пакет, поэтому тут либо использовать переустановку пакета, либо установку через dpkg -i имя_пакета.deb, при этом загрузив пакет на сервер.

или как пересобрать с опцией DOPENSSL_NO_HEARTBEATS - на debian и centos

Для пересборки пакетов с необходимыми Вам параметрами используйте dpkg-buildpackage в Debian и rpmbuild в CentOS.
Более подробно по этим командам смотрите документацию.

fsb-sasha
08.04.2014, 17:04
Для Debian в котором OpenSSL 0.9.8o 01 Jun 2010 - не обновлял так как у разработчиков на сайте написано что версии 1.0.1 и 1.0.2 уязвимы.
На Centos 6.5 обновил так
wget http://mirror.centos.org/centos/6/updates/x86_64/Packages/openssl-1.0.1e-16.el6_5.7.x86_64.rpm

rpm -ivh openssl-1.0.1e-16.el6_5.7.x86_64.rpm

Admin
08.04.2014, 17:08
В Debian доступна версия: 1.0.1e-2+deb7u5
Если используете rpm, то лучше так: rpm -Uvh openssl-1.0.1e-16.el6_5.7.x86_64.rpm
Хотя проще выполнить yum update имя_пакета

fsb-sasha
08.04.2014, 17:13
спасибо за подсказки - очень рад что у вас появился форум.
по поводу debian 7
~# aptitude reinstall openssl
The following packages will be REINSTALLED:
openssl
0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 65 not upgraded.
Need to get 0 B of archives. After unpacking 0 B will be used.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: Internal error: couldn't generate list of packages to download
root@robotu:~# apt-get reinstall openssl
E: Invalid operation reinstall
root@robotu:~# aptitude reinstall openssl
The following packages will be REINSTALLED:
openssl
0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 65 not upgraded.
Need to get 0 B of archives. After unpacking 0 B will be used.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: Internal error: couldn't generate list of packages to download


никак

Admin
08.04.2014, 17:20
Перед выполнением aptitude reinstall, Вы выполнили aptitude update ?

fsb-sasha
08.04.2014, 17:44
Перед выполнением aptitude reinstall, Вы выполнили aptitude update ?

да выполнил

root@:~# aptitude update
Get:1 http://security.debian.org squeeze/updates Release.gpg [836 B]
Ign http://security.debian.org/ squeeze/updates/main Translation-en
Ign http://security.debian.org/ squeeze/updates/main Translation-en_US
Hit http://ftp.us.debian.org squeeze Release.gpg
Ign http://ftp.us.debian.org/debian/ squeeze/main Translation-en
Ign http://ftp.us.debian.org/debian/ squeeze/main Translation-en_US
Get:2 http://security.debian.org squeeze/updates Release [86.9 kB]
Get:3 http://ftp.us.debian.org squeeze-updates Release.gpg [836 B]
Ign http://ftp.us.debian.org/debian/ squeeze-updates/main Translation-en
Ign http://ftp.us.debian.org/debian/ squeeze-updates/main Translation-en_US
Hit http://ftp.us.debian.org squeeze Release
Get:4 http://ftp.us.debian.org squeeze-updates Release [113 kB]
Get:5 http://security.debian.org squeeze/updates/main Sources [137 kB]
Err http://ftp.us.debian.org squeeze-updates Release

Hit http://ftp.us.debian.org squeeze/main Sources
Hit http://ftp.us.debian.org squeeze/main amd64 Packages
Get:6 http://security.debian.org squeeze/updates/main amd64 Packages [364 kB]
Fetched 703 kB in 1s (437 kB/s)
W: A error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://ftp.us.debian.org squeeze-updates Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 8B48AD6246925553

Admin
08.04.2014, 19:46
У Вас точно Debian 7 ?
Судя по ответу на aptitude update у Вас Debian 6.

fsb-sasha
09.04.2014, 01:20
У Вас точно Debian 7 ?
Судя по ответу на aptitude update у Вас Debian 6.

Извините Debian 6. Как здесь обновить?

Admin
09.04.2014, 10:19
Извините Debian 6. Как здесь обновить?

У Вас aptitude update не отрабатывает из-за отсутствия публичного ключа:


A error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://ftp.us.debian.org squeeze-updates Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 8B48AD6246925553


P.S. Я бы Вам всё таки рекомендовал обновится до Debian 7.

Esevroff
12.08.2015, 14:26
При этом не остается никаких следов проникновения в систему.

KlareBub
11.12.2015, 13:39
пожалуйста, программу для поиска уязвимостей операционной системы. Как закрыть обнаруженные уязвимости?

Спасибо.