Форум MGNHost.ru  

Вернуться   Форум MGNHost.ru > Технические вопросы > Безопасность

Важная информация

Ответ
 
Опции темы Опции просмотра
Старый 08.04.2014, 11:55   #1
Administrator
 
Аватар для Admin
 
Регистрация: 12.01.2014
Сообщений: 37
Exclamation Критическая уязвимость в OpenSSL

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик.

Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:
  • Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
  • CentOS 6.5, OpenSSL 1.0.1e-15)
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)
Дистрибутивы с более ранними версиями OpenSSL: Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server.

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно.
Admin вне форума   Ответить с цитированием
Старый 08.04.2014, 14:57   #2
Junior Member
 
Регистрация: 08.04.2014
Сообщений: 11
По умолчанию

Подскажите как на Centos 6.5 и на Debian 7 - переустановить или обновить? какие команды нужно прописывать?
Спасибо.

Последний раз редактировалось fsb-sasha; 08.04.2014 в 15:05.
fsb-sasha вне форума   Ответить с цитированием
Старый 08.04.2014, 15:10   #3
Administrator
 
Аватар для Admin
 
Регистрация: 12.01.2014
Сообщений: 37
По умолчанию

В данных дистрибутивах уже есть новая версия с патчем закрывающим данную уязвимость.
Необходимо подключиться к серверу по ssh и выполнить следующую команду:

В CentOS:

Цитата:
yum update openssl
В Debian:

Цитата:
apt-get update
apt-get upgrade
Admin вне форума   Ответить с цитированием
Старый 08.04.2014, 15:33   #4
Junior Member
 
Регистрация: 08.04.2014
Сообщений: 11
По умолчанию

root@robotu:~# apt-get upgrade openssl
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages will be upgraded:
apache2 apache2-mpm-prefork apache2-suexec apache2-utils apache2.2-bin
apache2.2-common base-files debian-archive-keyring dpkg file gnupg gpgv grep
gzip host isc-dhcp-client isc-dhcp-common libapache2-mod-php5 libc-bin libc6
libc6-i386 libcurl3 libexpat1 libgc1c2 libgcrypt11 libgnutls26
libgssapi-krb5-2 libgssrpc4 libk5crypto3 libkadm5clnt-mit7 libkadm5srv-mit7
libkdb5-4 libkrb5-3 libkrb5support0 libldap-2.4-2 libmagic1 libmysqlclient16
libpq5 libssl0.9.8 libx11-6 libx11-data libxcb1 libxext6 libxml2 linux-base
linux-image-2.6.32-5-amd64 locales mutt mysql-client-5.1 mysql-common
mysql-server-5.1 mysql-server-core-5.1 openssh-client openssh-server openssl
php5 php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt php5-mysql
php5-xsl proftpd-basic tzdata
66 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 99.4 MB of archives.
After this operation, 19.5 kB disk space will be freed.
Do you want to continue [Y/n]?


а как именно обновить openssl? а то все пакеты обновлять слишком рисковано

Последний раз редактировалось fsb-sasha; 08.04.2014 в 15:39.
fsb-sasha вне форума   Ответить с цитированием
Старый 08.04.2014, 16:16   #5
Administrator
 
Аватар для Admin
 
Регистрация: 12.01.2014
Сообщений: 37
По умолчанию

Попробуйте так:

Цитата:
aptitude reinstall openssl
Admin вне форума   Ответить с цитированием
Старый 08.04.2014, 16:22   #6
Junior Member
 
Регистрация: 08.04.2014
Сообщений: 11
По умолчанию

Цитата:
Сообщение от Admin Посмотреть сообщение
Попробуйте так:
но это так переустановить но не обновить, в Centos 6.5 в репозитории вижу есть только OpenSSL 1.0.1e-fips 11 Feb 2013

подскажите как вручную обновить?

или как пересобрать с опцией DOPENSSL_NO_HEARTBEATS - на debian и centos

Последний раз редактировалось fsb-sasha; 08.04.2014 в 16:31.
fsb-sasha вне форума   Ответить с цитированием
Старый 08.04.2014, 16:46   #7
Administrator
 
Аватар для Admin
 
Регистрация: 12.01.2014
Сообщений: 37
По умолчанию

Цитата:
Сообщение от fsb-sasha Посмотреть сообщение
но это так переустановить но не обновить
При переустановке пакета, должна быть установлена новая версия.

Цитата:
Сообщение от fsb-sasha Посмотреть сообщение
в Centos 6.5 в репозитории вижу есть только OpenSSL 1.0.1e-fips 11 Feb 2013
Видимо не там смотрите.
В CentOS 6, последняя версия openssl-1.0.1e-16.el6_5.7

Цитата:
Сообщение от fsb-sasha Посмотреть сообщение
подскажите как вручную обновить?
В Debian нет возможности стандартными средствами обновить только один пакет, поэтому тут либо использовать переустановку пакета, либо установку через dpkg -i имя_пакета.deb, при этом загрузив пакет на сервер.

Цитата:
Сообщение от fsb-sasha Посмотреть сообщение
или как пересобрать с опцией DOPENSSL_NO_HEARTBEATS - на debian и centos
Для пересборки пакетов с необходимыми Вам параметрами используйте dpkg-buildpackage в Debian и rpmbuild в CentOS.
Более подробно по этим командам смотрите документацию.
Admin вне форума   Ответить с цитированием
Старый 08.04.2014, 17:04   #8
Junior Member
 
Регистрация: 08.04.2014
Сообщений: 11
По умолчанию

Для Debian в котором OpenSSL 0.9.8o 01 Jun 2010 - не обновлял так как у разработчиков на сайте написано что версии 1.0.1 и 1.0.2 уязвимы.
На Centos 6.5 обновил так
wget http://mirror.centos.org/centos/6/up...5.7.x86_64.rpm

rpm -ivh openssl-1.0.1e-16.el6_5.7.x86_64.rpm
fsb-sasha вне форума   Ответить с цитированием
Старый 08.04.2014, 17:08   #9
Administrator
 
Аватар для Admin
 
Регистрация: 12.01.2014
Сообщений: 37
По умолчанию

В Debian доступна версия: 1.0.1e-2+deb7u5
Если используете rpm, то лучше так: rpm -Uvh openssl-1.0.1e-16.el6_5.7.x86_64.rpm
Хотя проще выполнить yum update имя_пакета
Admin вне форума   Ответить с цитированием
Старый 08.04.2014, 17:13   #10
Junior Member
 
Регистрация: 08.04.2014
Сообщений: 11
По умолчанию

спасибо за подсказки - очень рад что у вас появился форум.
по поводу debian 7
~# aptitude reinstall openssl
The following packages will be REINSTALLED:
openssl
0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 65 not upgraded.
Need to get 0 B of archives. After unpacking 0 B will be used.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: Internal error: couldn't generate list of packages to download
root@robotu:~# apt-get reinstall openssl
E: Invalid operation reinstall
root@robotu:~# aptitude reinstall openssl
The following packages will be REINSTALLED:
openssl
0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 65 not upgraded.
Need to get 0 B of archives. After unpacking 0 B will be used.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: Internal error: couldn't generate list of packages to download


никак
fsb-sasha вне форума   Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 05:07. Часовой пояс GMT +4.


Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot