OpenSSL остается уязвимым после обновления до 14.04 [дубликат]

Question 1

На этот вопрос уже есть ответ здесь:

Как исправить ошибку Heartbleed (CVE-2014-0160) в OpenSSL? 6 ответов

У нас есть сервер AWS, на котором запущен OpenVPN, который был построен с использованием Ubuntu 13.10. После объявления об уязвимости Heartbleed мы обновили сервер. Сегодня утром мы обновили сервер до 14.04. Текущий вывод «openssl version -a»:

OpenSSL 1.0.1f 6 Jan 2014 
built on: Mon Apr  7 21:22:23 UTC 2014 
platform: debian-amd64 
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)  
compiler: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/usr/lib/ssl"

Я проверил тот факт, что сервер все еще уязвим, используя следующее:

:~$ openssl s_client -connect openvpn.example.com:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe
TLS server extension "heartbeat" (id=15), len=1

Попытки запустить «sudo apt-get install openssl» возвращают, что текущая версия уже установлена. установлены. Как лучше всего решить эту проблему? Похоже, что при обновлении дистрибутива возникла проблема; т.е. действительно ли пакет OpenSSL 14.04 находится вне опасного диапазона? Или есть возможная проблема с самим репозиторием?

Question 2

Как @david6 указанный, версия OpenSSL, могло бы все еще казаться, была бы уязвимой версией. Это вызвано тем, что Ubuntu, как много других дистрибутивов, бэкпорты исправления безопасности вместо того, чтобы обновить к целой более новой версии программного обеспечения (и возможно взять новые возможности и их сопутствующие ошибки по пути). Так, просто потому что Вы работаете, "уязвимая версия" OpenSSL не означает выполнение уязвимой версии OpenSSL.

Однако, если доступные аудиты Heartbleed указывают, что Вы все еще уязвимы, Вы все еще уязвимы.

то, Что я думаю, продолжается, то, что Вы обновили пакет, но Вы не имеете , перезапустил сервисы, которые используют OpenSSL, таким образом, они все еще держатся за более старую версию, которую они загрузили при запуске.

существует два простых способа зафиксировать это:

Перезагружают сервер.
Определяют и перезапускают затронутые сервисы. Простой способ сделать это с, checkrestart от debian-goodies пакет. Это должно определить затронутые сервисы и даже сказать Вам, какие init сценарии перезапустят их:
```
$ sudo apt-get install debian-goodies
$ sudo checkrestart
```

Question 3

Question 4

Вы правы быть заинтересованными.

Однако, чтобы больше не быть уязвимыми для OpenSSL / Heartbleed на Ubuntu, просто необходимо использовать обновленную компиляцию библиотеки OpenSSL.

Команда openssl version -a должен показать что новая дата: 'основанный: понедельник 7 апреля'

Фактические примеры:

(1). Ubuntu 14.04 LTS (64 бита, рабочий стол) - обновленный от 13,10

OpenSSL 1.0.1f 6 Jan 2014
built on: Mon Apr  7 21:22:23 UTC 2014
platform: debian-amd64
  :

(2). Ubuntu 14.04 LTS (64 бита, рабочий стол) - НОВАЯ установка

OpenSSL 1.0.1f 6 Jan 2014
built on: Mon Apr  7 21:22:23 UTC 2014
platform: debian-amd64
  :

(3). Ubuntu 12.04 LTS (64 бита, сервер) - полностью обновленный

OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr  7 20:33:29 UTC 2014
platform: debian-amd64
  :

Примечание:

У специалиста по обслуживанию Ubuntu есть долгий цикл тестирования, прежде чем они 'заменят' библиотеку совершенно новой версией (с отличающимися функциями). Простая фиксация для этой ошибки должна была или добавить проверяющую границы логику (для функции heartbeat) или скомпилировать с флагом (прагма) для исключения функциональности heartbeat полностью. Эти две опции неблагоприятно не повлияют ни на какие другие приложения или сервисы.
Если Вы установили версию OpenSSL v1.0.1 (или v1.0.2 бета) из источника или загружаете двоичный файл (для Ubuntu) от где-нибудь, то Вы действительно были бы уязвимы, если Вы не использовали v1.0.1g (или опция компиляции использовалась для удаления 'heartbeat'). Только используйте надежные источники.

Question 5

Обновите до последнего, и Вы будете хорошо при работе Ubuntu для CVE-2016-2107: см. https://forums.openvpn.net/viewtopic.php? f=4& t=21699& p=62376#p62376

, Если Вы dpkg текущий openvpn_as сервер Вы видите, что он обновляется для openssl мимо ошибки:

jonathan@Jonathan-Les-MacBook-Pro:~/Downloads/openvpn/usr/local/openvpn_as/lib/pkgconfig$ cat openssl.pc
prefix=/usr/local/openvpn_as
exec_prefix=$
{prefix}
libdir=${exec_prefix}/lib64
includedir=${prefix}
/include
Name: OpenSSL
Description: Secure Sockets Layer and cryptography libraries and tools
Version: 1.0.2h
Requires: libssl libcrypto

Для CVE-2016-2107 в https://www.openssl.org/news/secadv/20160503.txt : "Пользователи OpenSSL 1.0.2 должны обновить до 1.0.2 ч",

Мы обновили до последнего и являемся A-OK теперь

tgies · Answer 1 · 8 May 2014 в 01:42

Как @david6 указанный, версия OpenSSL, могло бы все еще казаться, была бы уязвимой версией. Это вызвано тем, что Ubuntu, как много других дистрибутивов, бэкпорты исправления безопасности вместо того, чтобы обновить к целой более новой версии программного обеспечения (и возможно взять новые возможности и их сопутствующие ошибки по пути). Так, просто потому что Вы работаете, "уязвимая версия" OpenSSL не означает выполнение уязвимой версии OpenSSL.

Однако, если доступные аудиты Heartbleed указывают, что Вы все еще уязвимы, Вы все еще уязвимы.

то, Что я думаю, продолжается, то, что Вы обновили пакет, но Вы не имеете , перезапустил сервисы, которые используют OpenSSL, таким образом, они все еще держатся за более старую версию, которую они загрузили при запуске.

существует два простых способа зафиксировать это:

Перезагружают сервер.
Определяют и перезапускают затронутые сервисы. Простой способ сделать это с, checkrestart от debian-goodies пакет. Это должно определить затронутые сервисы и даже сказать Вам, какие init сценарии перезапустят их:
```
$ sudo apt-get install debian-goodies
$ sudo checkrestart
```

david6 · Answer 2 · 8 May 2014 в 01:42

Вы правы быть заинтересованными.

Однако, чтобы больше не быть уязвимыми для OpenSSL / Heartbleed на Ubuntu, просто необходимо использовать обновленную компиляцию библиотеки OpenSSL.

Команда openssl version -a должен показать что новая дата: 'основанный: понедельник 7 апреля'

Фактические примеры:

(1). Ubuntu 14.04 LTS (64 бита, рабочий стол) - обновленный от 13,10

OpenSSL 1.0.1f 6 Jan 2014
built on: Mon Apr  7 21:22:23 UTC 2014
platform: debian-amd64
  :

(2). Ubuntu 14.04 LTS (64 бита, рабочий стол) - НОВАЯ установка

OpenSSL 1.0.1f 6 Jan 2014
built on: Mon Apr  7 21:22:23 UTC 2014
platform: debian-amd64
  :

(3). Ubuntu 12.04 LTS (64 бита, сервер) - полностью обновленный

OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr  7 20:33:29 UTC 2014
platform: debian-amd64
  :

Примечание:

У специалиста по обслуживанию Ubuntu есть долгий цикл тестирования, прежде чем они 'заменят' библиотеку совершенно новой версией (с отличающимися функциями). Простая фиксация для этой ошибки должна была или добавить проверяющую границы логику (для функции heartbeat) или скомпилировать с флагом (прагма) для исключения функциональности heartbeat полностью. Эти две опции неблагоприятно не повлияют ни на какие другие приложения или сервисы.
Если Вы установили версию OpenSSL v1.0.1 (или v1.0.2 бета) из источника или загружаете двоичный файл (для Ubuntu) от где-нибудь, то Вы действительно были бы уязвимы, если Вы не использовали v1.0.1g (или опция компиляции использовалась для удаления 'heartbeat'). Только используйте надежные источники.

muru · Answer 3 · 8 May 2014 в 12:42

Обновите до последнего, и Вы будете хорошо при работе Ubuntu для CVE-2016-2107: см. https://forums.openvpn.net/viewtopic.php? f=4& t=21699& p=62376#p62376

, Если Вы dpkg текущий openvpn_as сервер Вы видите, что он обновляется для openssl мимо ошибки:

jonathan@Jonathan-Les-MacBook-Pro:~/Downloads/openvpn/usr/local/openvpn_as/lib/pkgconfig$ cat openssl.pc
prefix=/usr/local/openvpn_as
exec_prefix=$
{prefix}
libdir=${exec_prefix}/lib64
includedir=${prefix}
/include
Name: OpenSSL
Description: Secure Sockets Layer and cryptography libraries and tools
Version: 1.0.2h
Requires: libssl libcrypto

Для CVE-2016-2107 в https://www.openssl.org/news/secadv/20160503.txt : "Пользователи OpenSSL 1.0.2 должны обновить до 1.0.2 ч",

Мы обновили до последнего и являемся A-OK теперь

OpenSSL остается уязвимым после обновления до 14.04 [дубликат]

3 ответа

Вы правы быть заинтересованными.

Примечание:

Другие вопросы по тегам:

Похожие вопросы: