Eu tenho 2 servidores de produção com o Ubuntu 14 e OpenSSL 1.0.1f 6 de janeiro de 2014 e quando eu testo os dois servidores contra o ssllabs, apenas um deles é vulnerável ao CVE-2016-2107. A única diferença que pude encontrar é que o servidor não vulnerável tem a seguinte versão do Apache:
Server version: Apache/2.4.7 (Ubuntu)
Server built: Jul 15 2016 15:34:04
enquanto o vulnerável tem o seguinte:
Server version: Apache/2.4.7 (Ubuntu)
Server built: Jan 14 2016 17:45:23
Então, minha pergunta é: como posso proteger o servidor? Eu reconstruo o Apache?
O servidor que executa o Apache construído em janeiro de 2016 não está atualizado; você precisa aplicar as correções de segurança disponíveis:
sudo apt-get update
sudo apt-get upgrade
Isso atualizará o pacote apache2 para a versão 2.4.7-1ubuntu4.13 (julho de 2016), e provavelmente muitos outros pacotes com correções de segurança.
Tags ssl apache-httpd