Neden katılımsız yükseltmeler heartbleed hatayı düzeltmez?

19

Sunucumda otomatik güvenlik güncellemelerini yüklemek için katılımsız yükseltmeleri yükleme talimatını takip ettim (ubuntu server 13.10).

İşte

Bu sabah neden sunucumda niçin kalp krizi geçirdiğimi anlamamda yardımcı olabilir misiniz?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

diğer bilgiler:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

Teşekkürler

    
sordu Guillaume Vincent 08.04.2014 09:50

3 cevap

28

Sunucunuzda Heartbleed güvenlik açığı bulunmuyor, OpenSSL bu sorunu gidermek için düzeltildi (yükseltmeden).

OpenSSL sürüm çıktısında birkaç önemli satır kaldınız. Bu, sürüm numarasıyla değil de yandığını biliyorsunuz:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

'On line' çizgisi burada önemli olan, 7 Nisan veya sonrası: iyisin. Aksi halde: başın belada.

Güncelleme, yapım tarihi iyi görünmediğinden beri:

Belki katılımsız yükseltme henüz çalışmadı, sunucumda cron.daily'deki komut dosyaları 6:25

olarak çalışacak şekilde yapılandırıldı
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Ayrıca, /etc/apt/apt.conf.d/10periodic içeriğini kontrol edin ve güvenlik güncellemelerinin yüklendiğini kontrol edin:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

Kaynak: İşte

    
verilen cevap Mathieu Comandon 08.04.2014 10:25
12

İlk önce, yeni sürüme geçmeniz gerekiyor. Katılımsız yükseltmeler yalnızca günde bir kez çalışır ve düzeltmenin başladığı tarihten itibaren 1 günden azdır (2014-04-07 civarı 20:00 GMT). Sos için, libssl1.0.0 sürüm 1.0.1e-3ubuntu1.2 veya daha yeni sürümüne yükselttiğinizden emin olun. (Tam olarak, düzeltme sürümü 1.0.1-4ubuntu5.12'de geldi.)

Sonra, bunun çok kötü bir güvenlik açığı olduğunu unutmayın: saldırganlara, savunmasız sunucunuza bağlanarak gizli veriler edinmesine izin vermiş olabilir. Bir SSL sunucusu çalıştırıyorsanız, güvenlik açığından hemen önce sunucunun belleğinde bulunan tüm veriler sızdırılmış olabilir. Bu, özellikle sunucunun SSL özel anahtarını içerir, böylece yeni bir tane oluşturup eski olanı iptal etmelisiniz.

Daha fazla bilgi için bkz. Nasıl yama yapılır OpenSSL'deki heartbleed hatası (CVE-2014-0160)?

    
verilen cevap Gilles 08.04.2014 13:43
7

Dahili sürüm dizelerine güvenemezsiniz. Sürüm 1.0.1e diyor ve hata 1.0.0 ile 1.0.0f arasında. Openssl'ın hala savunmasız bir sürümü olup olmadığını belirlemek için bu yeterli mi? Hayır OpenSSL iç sürümü değişmez, hatta bazı güncellemeler uygulanır. Sürümünüzü güvenilir şekilde tanımlamanın tek yolu, apt-cache policy veya başka bir araç kullanarak paket yöneticisi sürümüne bakıyor:

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

Gördüğünüz gibi, openssl sürümüm etkileniyor gibi görünmektedir, çünkü 1.0.1f olduğundan, şimdi changelog'ları kontrol edersem:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <[email protected]>  Mon, 06 Jan 2014 18:50:54 +0100

Evet, hala etkilendim. Değişim çağındaki CVE-2014-0160 referansı yok. Ancak, herhangi bir SSL / TSL hizmeti çalıştırmıyorum, bu yüzden bekleyebilirim. OpenSSL'in bu sürümünü kullanarak SSL sertifikası oluşturmak zorunda kalmam. Eğer yaparsam, Gilles tavsiyelerini takip etmeliyim: hizmetleri al, sertifikayı iptal et, yenilerini oluştur.

    
verilen cevap Braiam 08.04.2014 14:46

Etiketlerdeki diğer soruları oku