Server saya masih rentan terhadap masalah jantung bahkan setelah saya memperbarui OpenSSL

28

Saya memiliki server Ubuntu 12.04. Saya telah memperbarui OpenSSLpaket untuk memperbaiki kerentanan heartbleed. Tetapi saya masih rentan bahkan, meskipun saya telah me-restart server web, dan bahkan seluruh server.

Untuk memeriksa kerentanan saya, saya menggunakan:

dpkg memberi:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

ubuntu nginx security openssl heartbleed pengguna3301260
sumber
Output dari openssl version -a?
Nathan C
Saya menjalankan server 12,04 (dengan nginx) juga. Milik saya diatur untuk secara otomatis menginstal pembaruan keamanan dan ketika saya menjalankan skrip python dikatakan tidak rentan. Apakah Anda menginstal nginx dari dari repositori paket atau secara manual?
mikeazo
1
Apa yang Anda jalankan di port ini? Jika ini adalah aplikasi pihak ke-3, Anda mungkin memiliki perpustakaan statis
Nathan C

Jawaban:

29

Pastikan bahwa libssl1.0.0paket telah diperbarui juga (paket itu berisi perpustakaan yang sebenarnya, opensslpaket itu berisi alat-alat) dan bahwa semua layanan menggunakan perpustakaan telah dimulai kembali setelah peningkatan.

Anda harus MEMULAI semua layanan menggunakan openssl (service apache restart).

Håkan Lindqvist
sumber
4
Untuk mendapatkan daftar layanan menggunakan versi libssl Anda yang lebih lama, yang sekarang diganti, coba: "lsof -n | grep ssl | grep DEL". Atau, jika Anda super-paranoid, Anda bisa mendapatkan daftar semuanya menggunakan versi libssl apa pun: "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

Mungkin saja Anda positif palsu, sesuai FAQ :

Saya mendapatkan hasil positif palsu (merah)!

Hati-hati, kecuali Anda membuat kesalahan pada situs yang memalu tombol, tidak mungkin saya bisa memikirkan merah bukan merah.

Periksa dump memori, jika ada di sana maka alat mendapatkannya dari suatu tempat.

Katakanlah saya 99% yakin bahwa Anda akan terlihat lebih baik jika Anda me-restart semua proses setelah memperbarui dengan benar.

Perbarui: masih, saya secara konsisten mendapatkan laporan bahwa versi yang tidak terpengaruh akan berwarna merah. Silakan datang mengomentari masalah ini jika Anda terpengaruh. Saya mencari 3 hal: kesedihan memori (untuk mencari tahu dari mana asalnya), cap waktu (seakurat mungkin, coba dengan tab Jaringan), deskripsi lengkap tentang apa yang Anda klik dan ketikkan.

Anda dapat menguji situs Anda menggunakan alat lain seperti SSLLabs , dan melihat apakah Anda masih dilaporkan rentan.
Anda juga harus melaporkan masalah dengan http://filippo.io/Heartbleed tester seperti dijelaskan di atas.

voretaq7
sumber
Menjadi rentan terhadap Heartbleed menggunakan SSLLabs
Matt
@Matt Anda mungkin sebenarnya memiliki masalah kemudian - periksa dump memori (apakah Anda mendapatkannya?) Dan terhubung dengan orang-orang baik di belakang alat filippo.io.
voretaq7
2

Anda mungkin memiliki program yang mendengarkan 443 yang memiliki pustaka openssl yang terhubung secara statis. Ini berarti program memiliki openssl sendiri yang dikemas dengannya - perbarui program ini juga! Jika ada yang tidak tersedia, segera beri tahu vendor dan tunda aplikasi ini jika memungkinkan!

Nathan C
sumber
2

Mungkin saja Anda mengalami bug yang tercantum pada halaman FAQ . Tampaknya dalam keadaan tertentu Anda bisa mendapatkan notifikasi yang rentan bahkan pada sistem yang ditambal.

Saya mendapatkan hasil positif palsu (merah)!

Hati-hati, kecuali Anda membuat kesalahan pada situs yang memalu tombol, tidak mungkin saya bisa memikirkan merah bukan merah. Periksa dump memori, jika ada di sana maka alat mendapatkannya dari suatu tempat. Katakanlah saya 99% yakin bahwa Anda akan terlihat lebih baik jika Anda me-restart semua proses setelah memperbarui dengan benar.

Perbarui: masih, saya secara konsisten mendapatkan laporan bahwa versi yang tidak terpengaruh akan berwarna merah. Silakan datang mengomentari masalah ini jika Anda terpengaruh. Saya mencari 3 hal: kesedihan memori (untuk mencari tahu dari mana asalnya), cap waktu (seakurat mungkin, coba dengan tab Jaringan), deskripsi lengkap tentang apa yang Anda klik dan ketikkan.

Saya menyarankan pengujian dengan tes alternatif seperti Qualys untuk mengonfirmasi bahwa sistem Anda tidak lagi rentan. Jika tidak menuju ke Github dan melaporkannya.

Itu masih rusak

Apa yang? "Server" yang Anda bicarakan mungkin memiliki pustaka OpenSSl tertaut statis. Ini berarti bahwa meskipun Anda memperbarui sistem, aplikasi Anda masih berisiko! Anda perlu berbicara dengan vendor perangkat lunak segera untuk mendapatkan patch atau mematikan layanan sampai Anda melakukannya.

Apakah saya benar-benar harus menonaktifkan layanan sampai tambalan keluar?

Ya, menjalankan layanan yang rentan sangat berbahaya hingga kemungkinan kelalaian! Anda bisa membocorkan data apa pun yang didekripsi server dari transport dan bahkan tidak mengetahuinya!

Yakub
sumber
0

Ini sangat mungkin jika aplikasi yang berjalan pada 443 menggunakan pustaka statis untuk OpenSSL. Jika hal ini terjadi, Anda harus memperbarui yang aplikasi tidak rentan lagi.

Nathan C
sumber
0

Saya akhirnya dapat memperbaiki masalah saya yang mirip dengan OP. Server saya adalah tumpukan LAMP dari Bitnami. Ikuti instruksi ini:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recomended-heartbleed-patch/23530/9

Mat
sumber