Почему автоматические обновления не устраняют ошибку в сердце?

Как насчет копирования / вставки строки перед выполнением (что-то вроде yyp!!sh)?

1
задан 8 April 2014 в 17:37

2 ответа

Сначала вам нужно выполнить обновление. Автоматические обновления выполняются только один раз в день, и прошло меньше 1 дня с момента выхода исправления (2014-04-07 около 20:00 по Гринвичу). Для saucy убедитесь, что вы обновили версию libssl1.0.0 версии 1.0.1e-3ubuntu1.2 или выше. (В точности, исправление появилось в версии 1.0.1-4ubuntu5.12.)

Затем обратите внимание, что это очень плохая уязвимость: возможно, злоумышленники могут получить конфиденциальные данные, подключившись к вашим уязвимым сервер. Если вы используете SSL-сервер, то любые данные, которые были в памяти сервера, начиная с немного до того, как была объявлена ​​уязвимость, возможно, были утечены. Это включает, в частности, секретный ключ SSL сервера, поэтому вы должны сгенерировать новый и отменить старый.

Дополнительные сведения см. В разделе Как исправить ошибку Heartbleed (CVE-2014-0160) в OpenSSL?

12
ответ дан 24 May 2018 в 09:42
  • 1
    Все, что было в памяти сервера в течение двух лет, возможно, было пропущено не только с момента объявления. – pieroxy 10 April 2014 в 01:15
  • 2
    @pieroxy Все, что было в памяти сервера в течение длительного времени, скорее всего, было бы перезаписано до такой степени, что вы также должны беспокоиться о многих других атакующих векторах. Исключением является то, что вы обеспокоены противником, который раньше знал об ошибке, и использовал его тихо - нападавшие на уровне правительства могли бы хорошо знать, маловероятно, что обычные жулики будут иметь. – Gilles 10 April 2014 в 07:04

Вы не можете доверять внутренним строкам версии. Версия говорит 1.0.1e, и ошибка влияет от 1.0.0 до 1.0.0f. Достаточно ли этого, чтобы определить, есть ли у вас уязвимая версия openssl? Нет. Внутренняя версия OpenSSL не изменяется, даже если применяются некоторые обновления. Единственный способ надежно идентифицировать вашу версию - это посмотреть версию менеджера пакетов с помощью apt-cache policy или другого инструмента:

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

Как вы можете видеть, моя версия openssl превосходит, по-видимому, влияет , так как это 1.0.1f, теперь, если я проверю изменения:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

Да, я все еще затронута. Ссылка на CVE-2014-0160 отсутствует в сводке изменений. Но у меня нет службы SSL / TSL, поэтому я могу подождать. Мне просто не нужно создавать сертификаты SSL, используя эту версию OpenSSL. Если я это сделаю, мне просто нужно следовать совету Гилла: снимите услуги, отмените сертификат, создайте новые.

7
ответ дан 24 May 2018 в 09:42
  • 1
    Примечание: «журнал изменений« apt-cache »» для меня не является допустимой командой, но «измененный список изменений». является. – ColinM 9 April 2014 в 00:07
  • 2
    @ColinM жаль, был apt-get, а не apt-cache, проблема с буфером обмена. – Braiam 9 April 2014 в 04:05

Другие вопросы по тегам:

Похожие вопросы: