A atualização da biblioteca SSL não corrige o heartbleed

Question

A atualização da biblioteca SSL não corrige o heartbleed

#1 resposta do (13 votos)
#2 resposta do (3 votos)

5

Acabei de atualizar a biblioteca openssl no meu servidor Ubuntu 12.04 para corrigir o bug heartbleed. Aqui está a saída que recebo para o comando "openssl version -a":

OpenSSL 1.0.0g 18 Jan 2012
built on: Fri Apr 11 09:20:16 UTC 2014
platform: linux-x86_64
options:  bn(64,64) rc4(8x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--    noexecstack -m64 -DL_ENDIAN -DTERMIO -O3 -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DWHIRLPOOL_ASM
OPENSSLDIR: "/usr/local/ssl"

Pelo que entendi, a data "construída" deve ser depois de 7 de abril de 2014, o que parece ser o caso aqui. Eu reiniciei o Apache depois de fazer essas alterações, mas ainda vejo que meu site é vulnerável ao bug Heartbleed.

Estou faltando alguma coisa aqui?

Eu atualizei a biblioteca ssl baixando o código-fonte mais recente e compilando / instalando o mesmo.

[atualização] Depois dos comentários de Stephan, atualizei diretamente o openssl usando o apt-get. Eu também atualizei meu PATH para apontar para o recém-atualizado openssl lib.

Aqui está o que eu vejo quando faço "openssl version -a"

OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr  7 20:33:29 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(8x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

De acordo com o "construído em", a biblioteca foi atualizada para o último patch de 7 de abril. No entanto, meu site ainda se mostra vulnerável ao heartbleed.

Por favor, ajude!

ssl ubuntu heartbleed

por Kapil Kaushik 01.05.2014 / 05:38

2 respostas

3

Como você não removeu a versão vulnerável do OpenSSL, ele ainda está no sistema. Sua nova instalação não substituiu os arquivos, mas adicionou novos. Como os aplicativos existentes estavam vinculados à biblioteca antiga, talvez continuassem a usá-lo. Portanto, é melhor atualizar seu sistema da maneira usual, porque bibliotecas fixas estão disponíveis para ele.

por 01.05.2014 / 09:36

Tags ssl ubuntu heartbleed

Nginx: Detectar conexão HTTPS usando um cabeçalho É possível executar o IIS7 no Windows Server 2003?

score 13 · Accepted Answer

A maneira mais fácil e rápida de se proteger do Heartbleed é atualizar o OpenSSL dos pacotes binários fornecidos pelo fornecedor. Não compile a partir da fonte, a menos que você saiba o que está fazendo ou queira gastar muito mais tempo aprendendo. Compilar a partir da fonte é mais desafiador e uma perda de tempo se tudo que você precisa fazer é atualizar o software. Pode ser educacional e esclarecedor.

OpenSSL 1.0.0g 18 Jan 2012
built on: Fri Apr 11 09:20:16 UTC 2014

Algo não está bem aqui. Você quer 1.0.1g não 1.0.0g. Mas o Heartbleed é apenas um problema no OpenSSL 1.0.1 e 1.0.2. O OpenSSL 1.0.0 não estava vulnerável. Você baixou arquivos-fonte antigos? Observe que o O Ubuntu nem sempre informa com precisão a versão do OpenSSL , e você precisa atualizar o libssl também.

From what I understand, the "built on" date should be after 07 Apr, 2014, which seems to be the case here

Não, olhe novamente. Sua data "construída" é "11 de abril 09:20:16 UTC 2014". É quando você compilou essa fonte?

Observe que, se você criar a partir da origem, precisará aplicar os sinalizadores corretos. Leia o aviso de segurança no link

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.