Закрепите уязвимость OpenSSL CCS на Ubuntu 14.04

Question 1

Я просто установил сертификат SSL от, Давайте Зашифруем на одном из моих доменов. Все было прекрасно, зеленый значок блокировки на Chrome. Но только быть уверенным, я проверил домен на ssllabs.com. И к моему удивлению, Это имеет худшую оценку, F. Кажется, что мой сервер уязвим для уязвимости OpenSSL CCS (CVE-2014-0224).

Мой сервер запускает Ubuntu 14.04. Я пытался обновить пакеты и установить новую версию OpenSSL.

sudo apt-get update
sudo apt-get install openssl libssl-dev

Я не мог найти новое обновление, таким образом, я создал его из источника. Но теперь, когда у меня есть последняя версия, я не вижу различия, когда я проверяю домен на SSLLabs, это все еще оценивается F.

$ openssl version
OpenSSL 1.0.2f 28 Jan 2016

Что я должен сделать для устранения этой уязвимости раз и навсегда?

Спасибо.

Question 2

CVE-2014-0224 был исправлен в июне 2014.

Выполнение apt-get changelog openssl | grep -A10 0224 для проверки.

 $ apt-get changelog openssl | grep -A10 0224
    - debian/patches/CVE-2014-0224-regression2.patch: accept CCS after
      sending finished ssl/s3_clnt.c.

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Fri, 20 Jun 2014 13:57:48 -0400

openssl (1.0.1-4ubuntu5.15) precise-security; urgency=medium

  * SECURITY UPDATE: regression with tls_session_secret_cb (LP:
#1329297)
    - debian/patches/CVE-2014-0224.patch: set the CCS_OK flag when using
      tls_session_secret_cb for session resumption in ssl/s3_clnt.c.

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Thu, 12 Jun 2014 08:30:56 -0400

openssl (1.0.1-4ubuntu5.14) precise-security; urgency=medium

  * SECURITY UPDATE: arbitrary code execution via DTLS invalid fragment
    - debian/patches/CVE-2014-0195.patch: add consistency check for DTLS
      fragments in ssl/d1_both.c.
    - CVE-2014-0195
--
    - debian/patches/CVE-2014-0224-1.patch: only accept change cipher spec
      when it is expected in ssl/s3_clnt.c, ssl/s3_pkt.c, ssl/s3_srvr.c,
      ssl/ssl3.h.
    - debian/patches/CVE-2014-0224-2.patch: don't accept zero length master
      secrets in ssl/s3_pkt.c.
    - debian/patches/CVE-2014-0224-3.patch: allow CCS after resumption in
      ssl/s3_clnt.c.
    - CVE-2014-0224   * SECURITY UPDATE: denial of service via ECDH null session cert
    - debian/patches/CVE-2014-3470.patch: check session_cert is not NULL
      before dereferencing it in ssl/s3_clnt.c.
    - CVE-2014-3470

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Mon, 02 Jun 2014 14:05:34 -0400

openssl (1.0.1-4ubuntu5.13) precise-security; urgency=medium

  * SECURITY UPDATE: denial of service via use after free

mikewhatever · Answer 1 · 29 September 2019 в 11:52

CVE-2014-0224 был исправлен в июне 2014.

Выполнение apt-get changelog openssl | grep -A10 0224 для проверки.

 $ apt-get changelog openssl | grep -A10 0224
    - debian/patches/CVE-2014-0224-regression2.patch: accept CCS after
      sending finished ssl/s3_clnt.c.

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Fri, 20 Jun 2014 13:57:48 -0400

openssl (1.0.1-4ubuntu5.15) precise-security; urgency=medium

  * SECURITY UPDATE: regression with tls_session_secret_cb (LP:
#1329297)
    - debian/patches/CVE-2014-0224.patch: set the CCS_OK flag when using
      tls_session_secret_cb for session resumption in ssl/s3_clnt.c.

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Thu, 12 Jun 2014 08:30:56 -0400

openssl (1.0.1-4ubuntu5.14) precise-security; urgency=medium

  * SECURITY UPDATE: arbitrary code execution via DTLS invalid fragment
    - debian/patches/CVE-2014-0195.patch: add consistency check for DTLS
      fragments in ssl/d1_both.c.
    - CVE-2014-0195
--
    - debian/patches/CVE-2014-0224-1.patch: only accept change cipher spec
      when it is expected in ssl/s3_clnt.c, ssl/s3_pkt.c, ssl/s3_srvr.c,
      ssl/ssl3.h.
    - debian/patches/CVE-2014-0224-2.patch: don't accept zero length master
      secrets in ssl/s3_pkt.c.
    - debian/patches/CVE-2014-0224-3.patch: allow CCS after resumption in
      ssl/s3_clnt.c.
    - CVE-2014-0224   * SECURITY UPDATE: denial of service via ECDH null session cert
    - debian/patches/CVE-2014-3470.patch: check session_cert is not NULL
      before dereferencing it in ssl/s3_clnt.c.
    - CVE-2014-3470

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Mon, 02 Jun 2014 14:05:34 -0400

openssl (1.0.1-4ubuntu5.13) precise-security; urgency=medium

  * SECURITY UPDATE: denial of service via use after free

Закрепите уязвимость OpenSSL CCS на Ubuntu 14.04

1 ответ

Другие вопросы по тегам:

Похожие вопросы: