Форум MGNHost.ru  

Вернуться   Форум MGNHost.ru > Технические вопросы > Безопасность

Важная информация

Ответ
 
Опции темы Опции просмотра
Старый 08.04.2014, 11:55   #1
Administrator
 
Аватар для Admin
 
Регистрация: 12.01.2014
Сообщений: 37
Exclamation Критическая уязвимость в OpenSSL

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик.

Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:
  • Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
  • CentOS 6.5, OpenSSL 1.0.1e-15)
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)
Дистрибутивы с более ранними версиями OpenSSL: Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server.

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно.
Admin вне форума   Ответить с цитированием
Старый 08.04.2014, 14:57   #2
Junior Member
 
Регистрация: 08.04.2014
Сообщений: 11
По умолчанию

Подскажите как на Centos 6.5 и на Debian 7 - переустановить или обновить? какие команды нужно прописывать?
Спасибо.

Последний раз редактировалось fsb-sasha; 08.04.2014 в 15:05.
fsb-sasha вне форума   Ответить с цитированием
Старый 08.04.2014, 15:10   #3
Administrator
 
Аватар для Admin
 
Регистрация: 12.01.2014
Сообщений: 37
По умолчанию

В данных дистрибутивах уже есть новая версия с патчем закрывающим данную уязвимость.
Необходимо подключиться к серверу по ssh и выполнить следующую команду:

В CentOS:

Цитата:
yum update openssl
В Debian:

Цитата:
apt-get update
apt-get upgrade
Admin вне форума   Ответить с цитированием
Старый 08.04.2014, 15:33   #4
Junior Member
 
Регистрация: 08.04.2014
Сообщений: 11
По умолчанию

root@robotu:~# apt-get upgrade openssl
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages will be upgraded:
apache2 apache2-mpm-prefork apache2-suexec apache2-utils apache2.2-bin
apache2.2-common base-files debian-archive-keyring dpkg file gnupg gpgv grep
gzip host isc-dhcp-client isc-dhcp-common libapache2-mod-php5 libc-bin libc6
libc6-i386 libcurl3 libexpat1 libgc1c2 libgcrypt11 libgnutls26
libgssapi-krb5-2 libgssrpc4 libk5crypto3 libkadm5clnt-mit7 libkadm5srv-mit7
libkdb5-4 libkrb5-3 libkrb5support0 libldap-2.4-2 libmagic1 libmysqlclient16
libpq5 libssl0.9.8 libx11-6 libx11-data libxcb1 libxext6 libxml2 linux-base
linux-image-2.6.32-5-amd64 locales mutt mysql-client-5.1 mysql-common
mysql-server-5.1 mysql-server-core-5.1 openssh-client openssh-server openssl
php5 php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt php5-mysql
php5-xsl proftpd-basic tzdata
66 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 99.4 MB of archives.
After this operation, 19.5 kB disk space will be freed.
Do you want to continue [Y/n]?


а как именно обновить openssl? а то все пакеты обновлять слишком рисковано

Последний раз редактировалось fsb-sasha; 08.04.2014 в 15:39.
fsb-sasha вне форума   Ответить с цитированием
Старый 08.04.2014, 16:16   #5
Administrator
 
Аватар для Admin
 
Регистрация: 12.01.2014
Сообщений: 37
По умолчанию

Попробуйте так:

Цитата:
aptitude reinstall openssl
Admin вне форума   Ответить с цитированием
Старый 08.04.2014, 16:22   #6
Junior Member
 
Регистрация: 08.04.2014
Сообщений: 11
По умолчанию

Цитата:
Сообщение от Admin Посмотреть сообщение
Попробуйте так:
но это так переустановить но не обновить, в Centos 6.5 в репозитории вижу есть только OpenSSL 1.0.1e-fips 11 Feb 2013

подскажите как вручную обновить?

или как пересобрать с опцией DOPENSSL_NO_HEARTBEATS - на debian и centos

Последний раз редактировалось fsb-sasha; 08.04.2014 в 16:31.
fsb-sasha вне форума   Ответить с цитированием
Старый 12.08.2015, 14:26   #7
Junior Member
 
Регистрация: 12.08.2015
Адрес: Россия, Москва
Сообщений: 1
По умолчанию

При этом не остается никаких следов проникновения в систему.
Esevroff вне форума   Ответить с цитированием
Старый 11.12.2015, 13:39   #8
Junior Member
 
Регистрация: 02.12.2015
Сообщений: 1
По умолчанию Критическая уязвимость в OpenSSL

пожалуйста, программу для поиска уязвимостей операционной системы. Как закрыть обнаруженные уязвимости?

Спасибо.
KlareBub вне форума   Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 11:51. Часовой пояс GMT +4.


Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot