Il mio server è ancora vulnerabile al cuore anche dopo aver aggiornato OpenSSL

28

Ho un server Ubuntu 12.04. Ho aggiornato il OpenSSLpacchetto per correggere la vulnerabilità del cuore. Ma sono ancora vulnerabile, anche se ho riavviato il server Web e persino l'intero server.

Per verificare la mia vulnerabilità ho usato:

dpkg dà:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(Launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

ubuntu  nginx  security  openssl  heartbleed 
user3301260
fonte
Uscita di openssl version -a?
Nathan C
Sto eseguendo anche il server 12.04 (con nginx). Il mio è configurato per installare automaticamente gli aggiornamenti di sicurezza e quando eseguo lo script Python dice che non è vulnerabile. Hai installato nginx dal repository dei pacchetti o manualmente?
Mikeazo,
1
Cosa stai eseguendo su questa porta? Se si tratta di un'app di terze parti, potresti avere una libreria statica
Nathan C

Risposte:

29

Assicurarsi che anche il libssl1.0.0pacchetto sia stato aggiornato (quel pacchetto contiene la libreria effettiva, il opensslpacchetto contiene gli strumenti) e che tutti i servizi che utilizzano la libreria siano stati riavviati dopo l'aggiornamento.

Devi riavviare tutti i servizi usando openssl (riavvio del servizio apache).

Håkan Lindqvist
fonte
4
Per ottenere un elenco dei servizi usando la versione precedente e ora sostituita di libssl, prova: "lsof -n | grep ssl | grep DEL". Oppure, se sei superparanoico, puoi ottenere un elenco di tutto usando qualsiasi versione di libssl: "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

È possibile che tu sia un caso falso positivo, secondo le FAQ :

Ricevo falsi positivi (rosso)!

Fai attenzione, a meno che tu non abbia bloccato il sito martellando il pulsante, non posso pensare che un rosso non sia un rosso.

Controlla il dump della memoria, se è lì, lo strumento l'ha preso da qualche parte.

Diciamo che sono sicuro al 99% che dovresti avere un aspetto migliore se hai riavviato tutti i processi dopo l'aggiornamento corretto.

Aggiornamento: continuo a ricevere costantemente segnalazioni di versioni non interessate che diventano rosse. Per favore, vieni a commentare il problema se sei interessato. Sto cercando 3 cose: dump della memoria (per capire da dove provengono), timestamp (il più accurato possibile, prova con la scheda Rete), una descrizione completa di ciò che hai cliccato e digitato.

Puoi testare il tuo sito usando un altro strumento come SSLLabs e vedere se sei ancora segnalato come vulnerabile.
Dovresti anche segnalare il problema con il http://filippo.io/Heartbleed tester come descritto sopra.

voretaq7
fonte
È diventato vulnerabile a Heartbleed usando SSLLabs
Matt
@Matt In realtà potresti avere un problema allora - controlla il dump della memoria (ne stai ottenendo uno?) E connettiti con le persone simpatiche dietro lo strumento filippo.io.
voretaq7,
2

Probabilmente hai un programma in ascolto su 443 che ha una libreria openssl collegata staticamente. Questo significa che il programma ha il suo openssl impacchettato con esso - aggiorna anche questo programma! Se uno non è disponibile, avvisare immediatamente il fornitore e sospendere questa applicazione se possibile!

Nathan C
fonte
2

È possibile che tu stia riscontrando il bug elencato nella pagina FAQ . Sembra che in determinate circostanze sia possibile ricevere una notifica vulnerabile anche su un sistema con patch.

Ricevo falsi positivi (rosso)!

Fai attenzione, a meno che tu non abbia bloccato il sito martellando il pulsante, non posso pensare che un rosso non sia un rosso. Controlla il dump della memoria, se è lì, lo strumento l'ha preso da qualche parte. Diciamo che sono sicuro al 99% che dovresti avere un aspetto migliore se hai riavviato tutti i processi dopo l'aggiornamento corretto.

Aggiornamento: ancora, ricevo costantemente segnalazioni di versioni non interessate che diventano rosse. Per favore, vieni a commentare il problema se sei interessato. Sto cercando 3 cose: dump della memoria (per capire da dove provengono), timestamp (il più accurato possibile, prova con la scheda Rete), una descrizione completa di ciò che hai cliccato e digitato.

Suggerirei un test con un test alternativo come Qualys per confermare che il tuo sistema non è più vulnerabile. Se non è presente, vai su Github e segnalalo .

È ancora rotto

Cosa è? Il "server" di cui parli potrebbe avere una libreria OpenSSl collegata staticamente. Ciò significa che anche se hai aggiornato il tuo sistema, la tua applicazione è ancora a rischio! È necessario parlare immediatamente con il fornitore del software per ottenere una patch o disattivare il servizio fino a quando non lo si fa.

Devo davvero disabilitare il servizio fino a quando la patch non viene rilasciata?

Sì, l'esecuzione di un servizio vulnerabile è estremamente pericolosa al punto da possibile negligenza! Potresti perdere tutti i dati che il server decodifica dal trasporto e nemmeno saperlo!

Giacobbe
fonte
0

Ciò è molto possibile se l'applicazione in esecuzione su 443 utilizza una libreria statica per OpenSSL. Se questo è il caso, è necessario aggiornare quella applicazione per non essere più vulnerabili.

Nathan C
fonte
0

Finalmente sono stato in grado di risolvere il mio problema simile a OP. Il mio server è uno stack LAMP di Bitnami. Seguendo queste istruzioni:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

opaco
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.