atualização centos openssl - CVE-2016-0800 - ataque de afogamento

2

Devido a vulnerabilidades recentes descobertas em versões antigas do openssl, tenho que atualizá-lo.

Mas não há uma Versão atual nos Repositórios do Centos ... Existe algum repositório confiável que eu possa adicionar e atualizar?

Precisa da versão atual do openssl 1.0.1. Eu acho que é 1.0.1e_42.el6_7.4 (para o CENTOS 6) como dito aqui: link .

Existe uma maneira de atualizar com segurança (não quero mexer em fazer / compilar coisas e manualmente tenho que atualizá-lo).

Eu preciso atualizar configurações de serviços como apache, postfix etc.?

    
por mfuesslin 03.03.2016 / 17:08

3 respostas

2

Os pacotes do CentOS são reconstruídos a partir das fontes do Red Hat Enterprise Linux. Red Hat correções de segurança backports para seus pacotes, o que significa que, embora a versão pareça antiga, ela foi corrigida para corrigir vulnerabilidades de segurança . Por exemplo, especificamente para o CVE com o qual você está preocupado, links para a errata de segurança podem ser encontrados aqui . Se você seguir os links lá, descobrirá que o openssl-1.0.1e-42.el6_7.4 foi corrigido para o CVE-2016-0800.

    
por 06.03.2016 / 06:04
1

Ok, eu procurei servidores vulneráveis no drownattack.com.

Eu vi as portas vulneráveis - POP3, IMAP, 443, etc. Agora eu atualizei para o mais recente openssl disponível via "yum update" - que já foi corrigido (de acordo com link ): "openssl-1.0.1e-42.el6_7.4".

Para desativar o sslv2 em meus serviços (apache e postfix) - apenas no caso:

Eu editei as configurações para o httpd (/etc/httpd/conf.d/ssl.conf) e descomentei a linha "#SSLProtocols ..." e o editei:

SSLProtocol All -SSLv2 -SSLv3

teste (depois de reiniciar o apache):

openssl s_client -ssl2 -connect www.example.com:443

tenho:

CONNECTED(00000003)
140313005905736:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

então está desativado. Agora postfix: Editado /etc/postfix/main.cf e adicionado na parte inferior:

smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3

testou (depois de reiniciar o postfix, por exemplo, POP3):

openssl s_client -connect x.x.x.x:110 -starttls pop3 -ssl2

tem

CONNECTED(00000003)
140110128891720:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

e também está desativado.

    
por 03.03.2016 / 18:13
0

Para aqueles preocupados com o teste de certificado Qualys SSLLabs, dando uma classificação / classificação inferior a "A" devido a DROWN e POODLE, esses links oferecem a melhor maneira de fazer isso:

link

e

link

Eu tive esse problema com nossas instâncias do EC2 e com um bom suporte dos técnicos da AWS, descobri que você precisa incluir todas as diretivas de configuração do SSL em cada diretiva do VirtualHost para que ele funcione corretamente.

<VirtualHost *:443>
    DocumentRoot ...
    ServerName ...
    ServerAlias ...
    SSLEngine ON
    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
    SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM \
        EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 \
        EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 \
        EECDH EDH+aRSA \
        !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
    SSLHonorCipherOrder on
    SSLCertificateFile /etc/httpd/conf/ssl.crt/...
    SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/...
    SSLCACertificateFile /etc/httpd/conf/ssl.crt/...
    ErrorLog logs/...
    CustomLog logs/... combined
</VirtualHost>

O valor SSLCipherSuite acima provavelmente deve ser alterado sempre que novas vulnerabilidades forem encontradas ou se você achar que algumas cifras são fracas etc.

Testar regularmente sua configuração de SSL é uma boa ideia.

EDIT: isto é, além de atualizar a biblioteca openssl para 1.0.1e_42.el6_7.4 (para o CENTOS 6)

    
por 09.03.2016 / 12:58