Na této stránce
- Zjistěte, zda je ovlivněn váš server
- Opravte zranitelnost
- Zkontrolujte, zda aktualizace systému Linux nainstalovala správný balíček
Verze 1.2
Autor:Till Brehm
Sledujte Howtoforge na Twitteru
V OpenSSL byla nalezena závažná zranitelnost, zranitelnost se jmenuje Heartbleed a ovlivňuje implementaci prezenčního signálu v Openssl verze 1.0.1 až verze 1.0.1f. Tuto chybu lze použít k získání soukromého klíče připojení SSL, takže je důležité okamžitě aktualizovat server. Chyba je opravena v OpenSSL 1.0.1g. Všechny hlavní linuxové distribuce vydaly aktualizace této chyby zabezpečení.
Zjistěte, zda je ovlivněn váš server
Spusťte příkaz:
verze openssl
získat číslo verze openssl. Pokud příkaz zobrazuje např.:
openssl verze
OpenSSL 1.0.1e 11. února 2013
pak může být váš server zranitelný, protože verze je nižší než 1.0.1g. Ale některé linuxové distribuce opravují balíčky, viz níže pro pokyny, jak zjistit, zda byl balíček na vašem serveru opraven.
Pokud váš server používá verzi 0.9.8, jako je tomu u Debianu Squeeze, pak server není zranitelný, protože funkce heartbeat byla implementována pouze v OpenSSL 1.0.1 a novějších verzích.
openssl verze
OpenSSL 0.9.8o 01. června 2010
Opravit zranitelnost
Chcete-li tuto chybu zabezpečení opravit, nainstalujte nejnovější aktualizace pro váš server.
Debian
apt-get update
upgrade apt-get
Ubuntu
apt-get update
upgrade apt-get
Fedora a CentOS
yum aktualizace
OpenSuSE
aktualizace zipu
Poté restartujte všechny služby, které používají OpenSSL. Na serveru ISPConfig 3 restartujte např. tyto služby (pokud jsou nainstalovány):sshd, apache, nginx, postfix, dovecot, courier, pure-ftpd, bind a mysql. Pokud si chcete být naprosto jisti, že vám nějaká služba neunikla, restartujte celý server spuštěním příkazu "reboot" na shellu.
Zkontrolujte, zda aktualizace systému Linux nainstalovala správný balíček
Po instalaci aktualizací systému Linux zkontrolujte, zda byl balíček openssl správně upgradován. Některé distribuce Linuxu
opravují balíčky, takže "verze openssl" ne vždy ukazuje, zda byla nainstalována správná oprava opravující zranitelnost.
Zkontrolujte balíček na Debianu a Ubuntu:
dpkg-query -l 'openssl'
Zde je výstup pro správně opravený server Debian 7 (Wheezy):
dpkg-query -l 'openssl'
Desired=Neznámé/Instalovat/Odebrat/Vyčistit/Podržet
| Stav=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err:velká písmena=špatné)
||/ Název Verze Architektura Popis
+++-====================-===============-===============-=============================================
ii openssl 1.0.1e-2+deb7u5 amd64 Binární a související Secure Socket Layer (SSL)
Pro Fedora a CentOS použijte tento příkaz k nalezení názvu nainstalovaného balíčku:
otáčky za minutu -qa | grep openssl
Zde jsou odkazy s poznámkami k vydání, které obsahují názvy balíčků pevných verzí:
Debian:http://www.debian.org/security/2014/dsa-2896
Ubuntu:http://www.ubuntu.com/usn/usn-2165-1/
Fedora:https ://lists.fedoraproject.org/pipermail/announce/2014-April/003206.html
CentOS:http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
Test
Nyní je k dispozici test pro ověření, zda jste úspěšně uzavřeli bezpečnostní díru na vašem serveru. Test najdete zde:
http://filippo.io/Heartbleed/
Otázky a odpovědi na toto téma ve fóru howtoforge
Otázky a odpovědi na toto téma ve fóru howtoforge:
https://www.howtoforge.com/forums/showthread.php?t=65498