Como instalar uma versão vulnerável do OpenSSL em um servidor Linux?

9

Gostaria de compilar e instalar uma versão OpenSSL vulnerável do Heartbleed em um servidor que estou configurando para um desafio de segurança da equipe (já que eles não estão disponíveis para instalação do repositório do Ubuntu por razões óbvias).

Eu fiz o download e compilei da fonte OpenSSL 1.0.1f usando as instruções fornecidas (execute ./config , depois make e make install ) e tentei executar o Heartbleed POC abertamente disponível doGitHub do meu PC, no entanto, o script não está me dizendo que nenhuma resposta de pulsação foi recebida e que o servidor é provável não vulnerável.

A execução de openssl version produz a seguinte saída: OpenSSL 1.0.1f 6 de janeiro de 2014 . Eu instalei um certificado SSL de curso e o acesso SSL funciona no servidor.

O OpenSSL está instalado para funcionar com o Apache 2.4.7.

Alguém pode ajudar?

    
por mittelmania 02.03.2015 / 23:50

2 respostas

7

Há duas coisas que podem estar acontecendo aqui:

  1. Um simples "./configure; make; make install" colocará por padrão as bibliotecas compartilhadas em /usr/local/lib . As bibliotecas instaladas no sistema, no entanto, estarão em /usr/lib , que vem antes no caminho de pesquisa da biblioteca. A menos que você remova a versão do OpenSSL instalada pelo sistema, a versão vulnerável não será encontrada.

  2. Mesmo se você estiver sobrescrevendo as bibliotecas do sistema, a mudança não será obtida até que você reinicie o Apache. Os arquivos excluídos permanecem acessíveis (e ocupam espaço no disco) até que todos os programas que possuem as alças de arquivo abertas fechem essas alças de arquivos.

por 03.03.2015 / 01:03
7

Qual software de servidor está sendo usado?

Apesar de o binário OpenSSL estar vulnerável, é provável que um servidor web instalado a partir de um pacote do sistema operacional esteja usando uma versão de biblioteca que não seja vulnerável.

A maneira mais simples de obter um ouvinte vulnerável em execução será openssl s_server - se você precisar que um servidor Web completo seja vulnerável, provavelmente precisará compilar com o OpenSSL vulnerável.

    
por 03.03.2015 / 00:17