Mój serwer jest nadal podatny na bicie serca, nawet po aktualizacji OpenSSL

28

Mam serwer Ubuntu 12.04. Zaktualizowałem OpenSSLpakiet, aby naprawić lukę w zabezpieczeniach. Ale nadal jestem podatny na zagrożenia, nawet jeśli zrestartowałem serwer WWW, a nawet cały serwer.

Aby sprawdzić moją podatność wykorzystałem:

dpkg daje:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

ubuntu  nginx  security  openssl  heartbleed 
użytkownik3301260
źródło
Wyjście openssl version -a?
Nathan C
Używam również serwera 12.04 (z nginx). Mój jest skonfigurowany do automatycznego instalowania aktualizacji bezpieczeństwa, a kiedy uruchamiam skrypt Pythona, mówi, że nie jest podatny na ataki. Czy zainstalowałeś nginx z repozytorium pakietów czy ręcznie?
mikeazo
1
Co uruchamiasz na tym porcie? Jeśli jest to aplikacja innej firmy, możesz mieć bibliotekę statyczną
Nathan C

Odpowiedzi:

29

Upewnij się, że libssl1.0.0pakiet również został zaktualizowany (pakiet zawiera rzeczywistą bibliotekę, opensslpakiet zawiera narzędzia) oraz że wszystkie usługi korzystające z biblioteki zostały ponownie uruchomione po aktualizacji.

Musisz ponownie uruchomić wszystkie usługi za pomocą openssl (restart apache usługi).

Håkan Lindqvist
źródło
4
Aby uzyskać listę usług korzystających ze starszej, obecnie zastąpionej wersji libssl, spróbuj: „lsof -n | grep ssl | grep DEL”. Lub, jeśli jesteś super-paranoikiem, możesz uzyskać listę wszystkiego, używając dowolnej wersji libssl: "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

Jest możliwe, że jesteś fałszywy pozytywny przypadek, za w FAQ :

Dostaję fałszywe alarmy (czerwony)!

Bądź ostrożny, chyba że zgrzytnąłeś stroną uderzającą w przycisk, nie ma mowy, że czerwony nie jest czerwony.

Sprawdź zrzut pamięci, jeśli tam jest, to narzędzie skądś je wzięło.

Powiedzmy, że jestem w 99% pewien, że powinieneś wyglądać lepiej, jeśli zrestartowałeś wszystkie procesy po prawidłowej aktualizacji.

Aktualizacja: wciąż otrzymuję konsekwentne raporty o tym, że wersje bez zmian będą czerwone. Jeśli to dotyczy, prosimy o komentarz w tej sprawie . Szukam 3 rzeczy: zrzutów pamięci (aby dowiedzieć się, skąd pochodzą), znaczników czasu (możliwie najdokładniejszych, spróbuj z kartą Sieć), pełnego opisu tego, co kliknąłeś i wpisałeś.

Możesz przetestować swoją witrynę za pomocą innego narzędzia, takiego jak SSLLabs , i sprawdzić, czy nadal jesteś zgłaszany jako podatny na atak.
Powinieneś również zgłosić problem z testerem http://filippo.io/Heartbleed, jak opisano powyżej.

voretaq7
źródło
Stał się podatny na atak Heartbleed za pomocą SSLLabs
Matt
@Matt W takim razie możesz mieć problem - sprawdź zrzut pamięci (dostajesz jeden?) I dołącz do fajnych ludzi stojących za narzędziem filippo.io.
voretaq7
2

Prawdopodobnie masz program nasłuchujący na 443, który ma statycznie połączoną bibliotekę openssl. Oznacza to, że program ma swój własny pakiet openssl - zaktualizuj również ten program! Jeśli ktoś nie jest dostępny, natychmiast powiadom sprzedawcę i jeśli to możliwe, zawieś tę aplikację!

Nathan C.
źródło
2

Możliwe, że występuje błąd wymieniony na stronie FAQ . Wygląda na to, że w pewnych okolicznościach możesz otrzymać powiadomienie o zagrożeniu, nawet w systemie z łatkami.

Dostaję fałszywe alarmy (czerwony)!

Bądź ostrożny, chyba że zgrzytnąłeś stroną uderzającą w przycisk, nie ma mowy, że czerwony nie jest czerwony. Sprawdź zrzut pamięci, jeśli tam jest, to narzędzie skądś je wzięło. Powiedzmy, że jestem w 99% pewien, że powinieneś wyglądać lepiej, jeśli zrestartowałeś wszystkie procesy po prawidłowej aktualizacji.

Aktualizacja: wciąż otrzymuję konsekwentne raporty o tym, że wersje bez zmian będą czerwone. Jeśli to dotyczy, prosimy o komentarz w tej sprawie. Szukam 3 rzeczy: zrzutów pamięci (aby dowiedzieć się, skąd pochodzą), znaczników czasu (możliwie najdokładniejszych, spróbuj z zakładką Sieć), pełnego opisu tego, co kliknąłeś i wpisałeś.

Sugeruję przetestowanie za pomocą alternatywnego testu, takiego jak Qualys, aby potwierdzić, że twój system nie jest już podatny na ataki. Jeśli nie, udaj się do Github i zgłoś to.

Nadal jest zepsuty

Co jest? „Serwer”, o którym mówisz, może mieć statycznie połączoną bibliotekę OpenSSl. Oznacza to, że mimo aktualizacji systemu Twoja aplikacja jest nadal zagrożona! Musisz natychmiast porozmawiać z dostawcą oprogramowania, aby uzyskać poprawkę lub wyłączyć usługę, dopóki tego nie zrobisz.

Czy naprawdę muszę wyłączyć usługę, dopóki łatka nie zostanie wydana?

Tak, prowadzenie podatnej na ataki usługi jest wyjątkowo niebezpieczne do tego stopnia, że ​​może być zaniedbany! Możliwe, że wyciekają jakiekolwiek dane, które serwer odszyfrowuje z transportu, a nawet o tym nie wiedzą!

Jakub
źródło
0

Jest to bardzo możliwe, jeśli aplikacja działająca na 443 używa biblioteki statycznej dla OpenSSL. W takim przypadku musisz zaktualizować aplikację, aby nie była już podatna na ataki.

Nathan C.
źródło
0

W końcu udało mi się naprawić mój problem podobny do OP. Mój serwer to stos LAMP od Bitnami. Postępując zgodnie z tymi instrukcjami:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

Matt
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.