Opravte zranitelnosti OpenSSL na CentOS, Debian, Ubuntu a RHEL! [1.0.1e-fips]

Pokud zjistíte, že vaše produkční stroje používají OpenSSL verze 1.0.1, 1.0.0 a 0.9.8, pak je zde v březnu 2015 hlášena závažná chyba zabezpečení – OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291) a Reklasifikováno:RSA silently downgrade na EXPORT_RSA [klient] (CVE-2015-0204).

No, výše uvedené dvě byly klasifikovány jako velmi závažné mezi několika zde uvedenými chybami zabezpečení. Seznam dotčených verzí OpenSSL je 1.0.1, 1.0.0 a 0.9.8. Podle zpráv týmu pro vydání OpenSSL nejsou zranitelnosti závažné, protože chyba Heartbleed byla nalezena během dubna 2014. Upgrade na nejnovější verzi však zabrání útokům typu Denial of Service.

Zjištěné chyby zabezpečení lze opravit aktualizací verze OpenSSL na vašich systémech se systémem CentOS, RHEL, Debian a Ubuntu.

Podívejme se, jak aktualizovat OpenSSL,

Předpoklad :Oprávnění ROOT

Jak zjistit nainstalovanou verzi OpenSSL?

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

(NEBO)

$ yum list installed openssl
openssl.x86_64                    1.0.1e-16.el6_5.4                     @updates

„verze openssl “ Příkaz by měl fungovat i na Debianu a Ubuntu. Případně můžete spustit níže uvedený příkaz.

[debian/ubuntu ] $ sudo dpkg -l | egrep  '^ii.*openssl'

Oprava/oprava OpenSSL upgradem na nejnovější verzi

$sudo yum update openssl

Příklad výstupu:

Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated
--> Processing Dependency: openssl = 1.0.1e-16.el6_5.4 for package: openssl-devel-1.0.1e-16.el6_5.4.x86_64
---> Package openssl.x86_64 0:1.0.1e-30.el6.8 will be an update
--> Running transaction check
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl-devel.x86_64 0:1.0.1e-30.el6.8 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

=============================================================================================================================================================
 Package                                 Arch                             Version                                    Repository                         Size
=============================================================================================================================================================
Updating:
 openssl                                 x86_64                           1.0.1e-30.el6.8                            updates                           1.5 M
Updating for dependencies:
 openssl-devel                           x86_64                           1.0.1e-30.el6.8                            updates                           1.2 M

Transaction Summary
=============================================================================================================================================================
Upgrade       2 Package(s)

Total download size: 2.7 M
Downloading Packages:
(1/2): openssl-1.0.1e-30.el6.8.x86_64.rpm                                                                                             | 1.5 MB     00:08
(2/2): openssl-devel-1.0.1e-30.el6.8.x86_64.rpm                                                                                       | 1.2 MB     00:08
-------------------------------------------------------------------------------------------------------------------------------------------------------------
Total                                                                                                                        156 kB/s | 2.7 MB     00:17
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Updating   : openssl-1.0.1e-30.el6.8.x86_64                                                                                                            1/4
  Updating   : openssl-devel-1.0.1e-30.el6.8.x86_64                                                                                                      2/4
  Cleanup    : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                    3/4
  Cleanup    : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                          4/4
  Verifying  : openssl-1.0.1e-30.el6.8.x86_64                                                                                                            1/4
  Verifying  : openssl-devel-1.0.1e-30.el6.8.x86_64                                                                                                      2/4
  Verifying  : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                          3/4
  Verifying  : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                    4/4
Updated:
  openssl.x86_64 0:1.0.1e-30.el6.8
Dependency Updated:
  openssl-devel.x86_64 0:1.0.1e-30.el6.8
Complete!

Na počítačích Debian a Ubuntu :

[debian/ubuntu ] $ apt-get update
[debian/ubuntu ] $ apt-get upgrade

Aktualizovali jste OpenSSL. Nyní můžete restartovat server nebo restartovat služby, které používají OpenSSL.

Jak zjistit, které služby používají OpenSSL?

Níže uvedený příkaz zobrazí seznam služeb, které aktuálně běží a používají knihovnu OpenSSL.

$lsof | grep libssl | awk '{print $1}' | sort | uniq
data-down
httpd
master
mysqld
php
pickup
postmaste

Restartujte všechny služby a je to, opravili jste zranitelnosti v OpenSSL verze 1.0.2, 1.0.1, 1.0.0 a 0.9.8.

Poznámka: I když tento příspěvek v budoucnu neaktualizuji, měli byste zajistit, aby byl váš systém vždy aktualizován nejnovějšími opravami.

Přečtěte si také:Seznam užitečných příkazů OpenSSL