OpenSSL permanece vulnerável após a atualização para 14.04 [duplicado]

Question

OpenSSL permanece vulnerável após a atualização para 14.04 [duplicado]

#1 resposta do tgies (5 votos)
#2 resposta do david6 (0 votos)
#3 resposta do Jonathan Le (-1 votos)

3

Temos um servidor da AWS executando o OpenVPN que foi construído usando o Ubuntu 13.10. Após o anúncio da vulnerabilidade do Heartbleed, atualizamos o servidor. Esta manhã, atualizamos o servidor para 14.04. A saída atual de "openssl version -a" é:

OpenSSL 1.0.1f 6 Jan 2014 
built on: Mon Apr  7 21:22:23 UTC 2014 
platform: debian-amd64 
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)  
compiler: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/usr/lib/ssl"

Eu verifiquei o fato de que o servidor ainda está vulnerável usando o seguinte:

:~$ openssl s_client -connect openvpn.example.com:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe
TLS server extension "heartbeat" (id=15), len=1

Tenta executar o "sudo apt-get install openssl" retornando que a versão atual já está instalada. Quais são as melhores opções para resolver esse problema? Parece que houve um problema durante a atualização da distribuição; Ou seja, o pacote 14.04 OpenSSL está realmente fora da faixa de perigo? Ou existe um possível problema com o próprio repositório?

openssl openvpn

por user270607 18.04.2014 / 22:31

3 respostas

Tags openssl openvpn

Como saber como o dejadup chama a duplicidade? Existe um cliente whatsapp para desktop linux? [duplicado]

score 5 · Answer 1

Como @ david6 apontou, a versão do OpenSSL ainda pode parecer uma versão vulnerável. Isso ocorre porque o Ubuntu, como muitas outras distribuições, correções de segurança do backports ao invés de atualizar para uma versão mais nova do software (e possivelmente pegando novos recursos e seus bugs acompanhantes ao longo do caminho). Então, só porque você está executando uma "versão vulnerável" do OpenSSL, não significa que você esteja executando uma versão vulnerável do OpenSSL.

No entanto, se as auditorias Heartbleed disponíveis indicarem que você ainda está vulnerável, ainda estará vulnerável.

O que eu acho que está acontecendo é que você atualizou o pacote, mas você não reiniciou os serviços que usam o OpenSSL , então eles ainda estão segurando a versão mais antiga que eles carregaram na inicialização.

Existem duas maneiras fáceis de corrigir isso:

Reinicialize o servidor.
Identifique e reinicie os serviços afetados. Uma maneira fácil de fazer isso é com checkrestart do pacote debian-goodies . Ele deve identificar os serviços afetados e até mesmo informar quais scripts de inicialização os reiniciarão:
```
$ sudo apt-get install debian-goodies
$ sudo checkrestart
```

score 0 · Answer 2

Você está certo em se preocupar.

No entanto, para que não seja mais vulnerável ao OpenSSL / Heartbleed no Ubuntu, você só precisa estar usando uma compilação atualizada do OpenSSL biblioteca.

O comando openssl version -a deve mostrar essa nova data: ' construído em: seg 7 de abril '

Exemplos reais:

(1.) Ubuntu 14.04 LTS (64 bits, desktop) - atualizado de 13.10

OpenSSL 1.0.1f 6 Jan 2014
built on: Mon Apr  7 21:22:23 UTC 2014
platform: debian-amd64
  :

(2.) Ubuntu 14.04 LTS (64 bits, desktop) - Nova instalação

OpenSSL 1.0.1f 6 Jan 2014
built on: Mon Apr  7 21:22:23 UTC 2014
platform: debian-amd64
  :

(3.) Ubuntu 12.04 LTS (servidor de 64 bits) - totalmente atualizado

OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr  7 20:33:29 UTC 2014
platform: debian-amd64
  :

NOTA:

O mantenedor do Ubuntu tem um longo ciclo de testes antes de "substituir" uma biblioteca por uma nova versão (com recursos diferentes). A simples correção para esse bug foi qualquer adição de lógica de verificação de limites (para a função heartbeat ) ou para compilar com um sinalizador ( pragma ) para excluir completamente a funcionalidade heartbeat . Essas duas opções não afetarão negativamente quaisquer outros aplicativos ou serviços.
Se você tivesse instalado uma versão do OpenSSL v1.0.1 (ou v1.0.2 beta ) da origem, ou baixe um binário (para o Ubuntu) de em algum lugar, então você realmente seria vulnerável a menos que estivesse usando v1.0.1g ( ou a opção de compilação tivesse sido usada para remover 'heartbeat' ). Use apenas fontes confiáveis.

score -1 · Answer 3

Atualize para o mais recente e você ficará bem se você estiver executando no Ubuntu para CVE-2016-2107: veja link

Se você dpkg o servidor openvpn_as atual, você pode ver que ele está atualizado para o openssl após o bug:

jonathan@Jonathan-Les-MacBook-Pro:~/Downloads/openvpn/usr/local/openvpn_as/lib/pkgconfig$ cat openssl.pc
prefix=/usr/local/openvpn_as
exec_prefix=$
{prefix}
libdir=${exec_prefix}/lib64
includedir=${prefix}
/include
Name: OpenSSL
Description: Secure Sockets Layer and cryptography libraries and tools
Version: 1.0.2h
Requires: libssl libcrypto

Para o CVE-2016-2107 no link : "Usuários do OpenSSL 1.0.2 devem atualizar para 1.0.2h"

Nós atualizamos para o mais recente e estamos A-OK agora