Критическая уязвимость в OpenSSL
Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.
Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему. Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик. Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:
Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно. |
Подскажите как на Centos 6.5 и на Debian 7 - переустановить или обновить? какие команды нужно прописывать?
Спасибо. |
В данных дистрибутивах уже есть новая версия с патчем закрывающим данную уязвимость.
Необходимо подключиться к серверу по ssh и выполнить следующую команду: В CentOS: Цитата:
Цитата:
|
root@robotu:~# apt-get upgrade openssl
Reading package lists... Done Building dependency tree Reading state information... Done The following packages will be upgraded: apache2 apache2-mpm-prefork apache2-suexec apache2-utils apache2.2-bin apache2.2-common base-files debian-archive-keyring dpkg file gnupg gpgv grep gzip host isc-dhcp-client isc-dhcp-common libapache2-mod-php5 libc-bin libc6 libc6-i386 libcurl3 libexpat1 libgc1c2 libgcrypt11 libgnutls26 libgssapi-krb5-2 libgssrpc4 libk5crypto3 libkadm5clnt-mit7 libkadm5srv-mit7 libkdb5-4 libkrb5-3 libkrb5support0 libldap-2.4-2 libmagic1 libmysqlclient16 libpq5 libssl0.9.8 libx11-6 libx11-data libxcb1 libxext6 libxml2 linux-base linux-image-2.6.32-5-amd64 locales mutt mysql-client-5.1 mysql-common mysql-server-5.1 mysql-server-core-5.1 openssh-client openssh-server openssl php5 php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt php5-mysql php5-xsl proftpd-basic tzdata 66 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 99.4 MB of archives. After this operation, 19.5 kB disk space will be freed. Do you want to continue [Y/n]? а как именно обновить openssl? а то все пакеты обновлять слишком рисковано |
Попробуйте так:
Цитата:
|
Цитата:
подскажите как вручную обновить? или как пересобрать с опцией DOPENSSL_NO_HEARTBEATS - на debian и centos |
Цитата:
Цитата:
В CentOS 6, последняя версия openssl-1.0.1e-16.el6_5.7 Цитата:
Цитата:
Более подробно по этим командам смотрите документацию. |
Для Debian в котором OpenSSL 0.9.8o 01 Jun 2010 - не обновлял так как у разработчиков на сайте написано что версии 1.0.1 и 1.0.2 уязвимы.
На Centos 6.5 обновил так wget http://mirror.centos.org/centos/6/up...5.7.x86_64.rpm rpm -ivh openssl-1.0.1e-16.el6_5.7.x86_64.rpm |
В Debian доступна версия: 1.0.1e-2+deb7u5
Если используете rpm, то лучше так: rpm -Uvh openssl-1.0.1e-16.el6_5.7.x86_64.rpm Хотя проще выполнить yum update имя_пакета |
спасибо за подсказки - очень рад что у вас появился форум.
по поводу debian 7 ~# aptitude reinstall openssl The following packages will be REINSTALLED: openssl 0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 65 not upgraded. Need to get 0 B of archives. After unpacking 0 B will be used. E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package. E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package. E: Internal error: couldn't generate list of packages to download root@robotu:~# apt-get reinstall openssl E: Invalid operation reinstall root@robotu:~# aptitude reinstall openssl The following packages will be REINSTALLED: openssl 0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 65 not upgraded. Need to get 0 B of archives. After unpacking 0 B will be used. E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package. E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package. E: Internal error: couldn't generate list of packages to download никак |
Текущее время: 03:31. Часовой пояс GMT +4. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot