Критическая уязвимость в OpenSSL

Admin · 08.04.2014, 11:55

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик.

Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:

Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
CentOS 6.5, OpenSSL 1.0.1e-15)
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

Дистрибутивы с более ранними версиями OpenSSL: Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server.

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно.

fsb-sasha · 08.04.2014, 14:57

Подскажите как на Centos 6.5 и на Debian 7 - переустановить или обновить? какие команды нужно прописывать?
Спасибо.

Admin · 08.04.2014, 15:10

В данных дистрибутивах уже есть новая версия с патчем закрывающим данную уязвимость.
Необходимо подключиться к серверу по ssh и выполнить следующую команду:

В CentOS:

Цитата:

yum update openssl

В Debian:

Цитата:

apt-get update
apt-get upgrade

fsb-sasha · 08.04.2014, 15:33

root@robotu:~# apt-get upgrade openssl
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages will be upgraded:
apache2 apache2-mpm-prefork apache2-suexec apache2-utils apache2.2-bin
apache2.2-common base-files debian-archive-keyring dpkg file gnupg gpgv grep
gzip host isc-dhcp-client isc-dhcp-common libapache2-mod-php5 libc-bin libc6
libc6-i386 libcurl3 libexpat1 libgc1c2 libgcrypt11 libgnutls26
libgssapi-krb5-2 libgssrpc4 libk5crypto3 libkadm5clnt-mit7 libkadm5srv-mit7
libkdb5-4 libkrb5-3 libkrb5support0 libldap-2.4-2 libmagic1 libmysqlclient16
libpq5 libssl0.9.8 libx11-6 libx11-data libxcb1 libxext6 libxml2 linux-base
linux-image-2.6.32-5-amd64 locales mutt mysql-client-5.1 mysql-common
mysql-server-5.1 mysql-server-core-5.1 openssh-client openssh-server openssl
php5 php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt php5-mysql
php5-xsl proftpd-basic tzdata
66 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 99.4 MB of archives.
After this operation, 19.5 kB disk space will be freed.
Do you want to continue [Y/n]?

а как именно обновить openssl? а то все пакеты обновлять слишком рисковано

Admin · 08.04.2014, 16:16

Попробуйте так:

Цитата:

aptitude reinstall openssl

fsb-sasha · 08.04.2014, 16:22

Цитата:

Сообщение от Admin

Попробуйте так:

но это так переустановить но не обновить, в Centos 6.5 в репозитории вижу есть только OpenSSL 1.0.1e-fips 11 Feb 2013

подскажите как вручную обновить?

или как пересобрать с опцией DOPENSSL_NO_HEARTBEATS - на debian и centos

Esevroff · 12.08.2015, 14:26

При этом не остается никаких следов проникновения в систему.

KlareBub · 11.12.2015, 13:39

пожалуйста, программу для поиска уязвимостей операционной системы. Как закрыть обнаруженные уязвимости?

Спасибо.

08.04.2014, 11:55	#1
Admin Administrator Регистрация: 12.01.2014 Сообщений: 37	Критическая уязвимость в OpenSSL Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL. Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему. Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик. Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL: Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4) Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11) CentOS 6.5, OpenSSL 1.0.1e-15) Fedora 18, OpenSSL 1.0.1e-4 OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c) FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c) NetBSD 5.0.2 (OpenSSL 1.0.1e) OpenSUSE 12.2 (OpenSSL 1.0.1c) Дистрибутивы с более ранними версиями OpenSSL: Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server. Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно.

08.04.2014, 14:57	#2
fsb-sasha Junior Member Регистрация: 08.04.2014 Сообщений: 11	Подскажите как на Centos 6.5 и на Debian 7 - переустановить или обновить? какие команды нужно прописывать? Спасибо. Последний раз редактировалось fsb-sasha; 08.04.2014 в 15:05.

08.04.2014, 15:33	#4
fsb-sasha Junior Member Регистрация: 08.04.2014 Сообщений: 11	root@robotu:~# apt-get upgrade openssl Reading package lists... Done Building dependency tree Reading state information... Done The following packages will be upgraded: apache2 apache2-mpm-prefork apache2-suexec apache2-utils apache2.2-bin apache2.2-common base-files debian-archive-keyring dpkg file gnupg gpgv grep gzip host isc-dhcp-client isc-dhcp-common libapache2-mod-php5 libc-bin libc6 libc6-i386 libcurl3 libexpat1 libgc1c2 libgcrypt11 libgnutls26 libgssapi-krb5-2 libgssrpc4 libk5crypto3 libkadm5clnt-mit7 libkadm5srv-mit7 libkdb5-4 libkrb5-3 libkrb5support0 libldap-2.4-2 libmagic1 libmysqlclient16 libpq5 libssl0.9.8 libx11-6 libx11-data libxcb1 libxext6 libxml2 linux-base linux-image-2.6.32-5-amd64 locales mutt mysql-client-5.1 mysql-common mysql-server-5.1 mysql-server-core-5.1 openssh-client openssh-server openssl php5 php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt php5-mysql php5-xsl proftpd-basic tzdata 66 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 99.4 MB of archives. After this operation, 19.5 kB disk space will be freed. Do you want to continue [Y/n]? а как именно обновить openssl? а то все пакеты обновлять слишком рисковано Последний раз редактировалось fsb-sasha; 08.04.2014 в 15:39.

11.12.2015, 13:39	#8
KlareBub Junior Member Регистрация: 02.12.2015 Сообщений: 1	Критическая уязвимость в OpenSSL пожалуйста, программу для поиска уязвимостей операционной системы. Как закрыть обнаруженные уязвимости? Спасибо.

12.08.2015, 14:26	#7
Esevroff Junior Member Регистрация: 12.08.2015 Адрес: Россия, Москва Сообщений: 1	При этом не остается никаких следов проникновения в систему.