Критическая уязвимость в OpenSSL

Admin · 08.04.2014, 11:55

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик.

Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:

Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
CentOS 6.5, OpenSSL 1.0.1e-15)
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

Дистрибутивы с более ранними версиями OpenSSL: Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server.

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно.

fsb-sasha · 08.04.2014, 14:57

Подскажите как на Centos 6.5 и на Debian 7 - переустановить или обновить? какие команды нужно прописывать?
Спасибо.

Admin · 08.04.2014, 15:10

В данных дистрибутивах уже есть новая версия с патчем закрывающим данную уязвимость.
Необходимо подключиться к серверу по ssh и выполнить следующую команду:

В CentOS:

Цитата:

yum update openssl

В Debian:

Цитата:

apt-get update
apt-get upgrade

fsb-sasha · 08.04.2014, 15:33

root@robotu:~# apt-get upgrade openssl
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages will be upgraded:
apache2 apache2-mpm-prefork apache2-suexec apache2-utils apache2.2-bin
apache2.2-common base-files debian-archive-keyring dpkg file gnupg gpgv grep
gzip host isc-dhcp-client isc-dhcp-common libapache2-mod-php5 libc-bin libc6
libc6-i386 libcurl3 libexpat1 libgc1c2 libgcrypt11 libgnutls26
libgssapi-krb5-2 libgssrpc4 libk5crypto3 libkadm5clnt-mit7 libkadm5srv-mit7
libkdb5-4 libkrb5-3 libkrb5support0 libldap-2.4-2 libmagic1 libmysqlclient16
libpq5 libssl0.9.8 libx11-6 libx11-data libxcb1 libxext6 libxml2 linux-base
linux-image-2.6.32-5-amd64 locales mutt mysql-client-5.1 mysql-common
mysql-server-5.1 mysql-server-core-5.1 openssh-client openssh-server openssl
php5 php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt php5-mysql
php5-xsl proftpd-basic tzdata
66 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 99.4 MB of archives.
After this operation, 19.5 kB disk space will be freed.
Do you want to continue [Y/n]?

а как именно обновить openssl? а то все пакеты обновлять слишком рисковано

Admin · 08.04.2014, 16:16

Попробуйте так:

Цитата:

aptitude reinstall openssl

fsb-sasha · 08.04.2014, 16:22

Цитата:

Сообщение от Admin

Попробуйте так:

но это так переустановить но не обновить, в Centos 6.5 в репозитории вижу есть только OpenSSL 1.0.1e-fips 11 Feb 2013

подскажите как вручную обновить?

или как пересобрать с опцией DOPENSSL_NO_HEARTBEATS - на debian и centos

Admin · 08.04.2014, 16:46

Цитата:

Сообщение от fsb-sasha

но это так переустановить но не обновить

При переустановке пакета, должна быть установлена новая версия.

Цитата:

Сообщение от fsb-sasha

в Centos 6.5 в репозитории вижу есть только OpenSSL 1.0.1e-fips 11 Feb 2013

Видимо не там смотрите.
В CentOS 6, последняя версия openssl-1.0.1e-16.el6_5.7

Цитата:

Сообщение от fsb-sasha

подскажите как вручную обновить?

В Debian нет возможности стандартными средствами обновить только один пакет, поэтому тут либо использовать переустановку пакета, либо установку через dpkg -i имя_пакета.deb, при этом загрузив пакет на сервер.

Цитата:

Сообщение от fsb-sasha

или как пересобрать с опцией DOPENSSL_NO_HEARTBEATS - на debian и centos

Для пересборки пакетов с необходимыми Вам параметрами используйте dpkg-buildpackage в Debian и rpmbuild в CentOS.
Более подробно по этим командам смотрите документацию.

fsb-sasha · 08.04.2014, 17:04

Для Debian в котором OpenSSL 0.9.8o 01 Jun 2010 - не обновлял так как у разработчиков на сайте написано что версии 1.0.1 и 1.0.2 уязвимы.
На Centos 6.5 обновил так
wget http://mirror.centos.org/centos/6/up...5.7.x86_64.rpm

rpm -ivh openssl-1.0.1e-16.el6_5.7.x86_64.rpm

Admin · 08.04.2014, 17:08

В Debian доступна версия: 1.0.1e-2+deb7u5
Если используете rpm, то лучше так: rpm -Uvh openssl-1.0.1e-16.el6_5.7.x86_64.rpm
Хотя проще выполнить yum update имя_пакета

fsb-sasha · 08.04.2014, 17:13

спасибо за подсказки - очень рад что у вас появился форум.
по поводу debian 7
~# aptitude reinstall openssl
The following packages will be REINSTALLED:
openssl
0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 65 not upgraded.
Need to get 0 B of archives. After unpacking 0 B will be used.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: Internal error: couldn't generate list of packages to download
root@robotu:~# apt-get reinstall openssl
E: Invalid operation reinstall
root@robotu:~# aptitude reinstall openssl
The following packages will be REINSTALLED:
openssl
0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 65 not upgraded.
Need to get 0 B of archives. After unpacking 0 B will be used.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package.
E: Internal error: couldn't generate list of packages to download

никак

08.04.2014, 11:55	#1
Admin Administrator Регистрация: 12.01.2014 Сообщений: 37	Критическая уязвимость в OpenSSL Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL. Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему. Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик. Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL: Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4) Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11) CentOS 6.5, OpenSSL 1.0.1e-15) Fedora 18, OpenSSL 1.0.1e-4 OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c) FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c) NetBSD 5.0.2 (OpenSSL 1.0.1e) OpenSUSE 12.2 (OpenSSL 1.0.1c) Дистрибутивы с более ранними версиями OpenSSL: Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server. Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно.

08.04.2014, 14:57	#2
fsb-sasha Junior Member Регистрация: 08.04.2014 Сообщений: 11	Подскажите как на Centos 6.5 и на Debian 7 - переустановить или обновить? какие команды нужно прописывать? Спасибо. Последний раз редактировалось fsb-sasha; 08.04.2014 в 15:05.

08.04.2014, 15:33	#4
fsb-sasha Junior Member Регистрация: 08.04.2014 Сообщений: 11	root@robotu:~# apt-get upgrade openssl Reading package lists... Done Building dependency tree Reading state information... Done The following packages will be upgraded: apache2 apache2-mpm-prefork apache2-suexec apache2-utils apache2.2-bin apache2.2-common base-files debian-archive-keyring dpkg file gnupg gpgv grep gzip host isc-dhcp-client isc-dhcp-common libapache2-mod-php5 libc-bin libc6 libc6-i386 libcurl3 libexpat1 libgc1c2 libgcrypt11 libgnutls26 libgssapi-krb5-2 libgssrpc4 libk5crypto3 libkadm5clnt-mit7 libkadm5srv-mit7 libkdb5-4 libkrb5-3 libkrb5support0 libldap-2.4-2 libmagic1 libmysqlclient16 libpq5 libssl0.9.8 libx11-6 libx11-data libxcb1 libxext6 libxml2 linux-base linux-image-2.6.32-5-amd64 locales mutt mysql-client-5.1 mysql-common mysql-server-5.1 mysql-server-core-5.1 openssh-client openssh-server openssl php5 php5-cgi php5-cli php5-common php5-curl php5-gd php5-mcrypt php5-mysql php5-xsl proftpd-basic tzdata 66 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 99.4 MB of archives. After this operation, 19.5 kB disk space will be freed. Do you want to continue [Y/n]? а как именно обновить openssl? а то все пакеты обновлять слишком рисковано Последний раз редактировалось fsb-sasha; 08.04.2014 в 15:39.

08.04.2014, 17:04	#8
fsb-sasha Junior Member Регистрация: 08.04.2014 Сообщений: 11	Для Debian в котором OpenSSL 0.9.8o 01 Jun 2010 - не обновлял так как у разработчиков на сайте написано что версии 1.0.1 и 1.0.2 уязвимы. На Centos 6.5 обновил так wget http://mirror.centos.org/centos/6/up...5.7.x86_64.rpm rpm -ivh openssl-1.0.1e-16.el6_5.7.x86_64.rpm

08.04.2014, 17:08	#9
Admin Administrator Регистрация: 12.01.2014 Сообщений: 37	В Debian доступна версия: 1.0.1e-2+deb7u5 Если используете rpm, то лучше так: rpm -Uvh openssl-1.0.1e-16.el6_5.7.x86_64.rpm Хотя проще выполнить yum update имя_пакета

08.04.2014, 17:13	#10
fsb-sasha Junior Member Регистрация: 08.04.2014 Сообщений: 11	спасибо за подсказки - очень рад что у вас появился форум. по поводу debian 7 ~# aptitude reinstall openssl The following packages will be REINSTALLED: openssl 0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 65 not upgraded. Need to get 0 B of archives. After unpacking 0 B will be used. E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package. E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package. E: Internal error: couldn't generate list of packages to download root@robotu:~# apt-get reinstall openssl E: Invalid operation reinstall root@robotu:~# aptitude reinstall openssl The following packages will be REINSTALLED: openssl 0 packages upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 65 not upgraded. Need to get 0 B of archives. After unpacking 0 B will be used. E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package. E: I wasn't able to locate file for the openssl package. This might mean you need to manually fix this package. E: Internal error: couldn't generate list of packages to download никак