Pokud zjistíte, že vaše produkční stroje používají OpenSSL verze 1.0.1, 1.0.0 a 0.9.8, pak je zde v březnu 2015 hlášena závažná chyba zabezpečení – OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291) a Reklasifikováno:RSA silently downgrade na EXPORT_RSA [klient] (CVE-2015-0204).
No, výše uvedené dvě byly klasifikovány jako velmi závažné mezi několika zde uvedenými chybami zabezpečení. Seznam dotčených verzí OpenSSL je 1.0.1, 1.0.0 a 0.9.8. Podle zpráv týmu pro vydání OpenSSL nejsou zranitelnosti závažné, protože chyba Heartbleed byla nalezena během dubna 2014. Upgrade na nejnovější verzi však zabrání útokům typu Denial of Service.
Zjištěné chyby zabezpečení lze opravit aktualizací verze OpenSSL na vašich systémech se systémem CentOS, RHEL, Debian a Ubuntu.
Podívejme se, jak aktualizovat OpenSSL,
Předpoklad :Oprávnění ROOT
Jak zjistit nainstalovanou verzi OpenSSL?
$ openssl version OpenSSL 1.0.1e-fips 11 Feb 2013
(NEBO)
$ yum list installed openssl openssl.x86_64 1.0.1e-16.el6_5.4 @updates
„verze openssl “ Příkaz by měl fungovat i na Debianu a Ubuntu. Případně můžete spustit níže uvedený příkaz.
[debian/ubuntu ] $ sudo dpkg -l | egrep '^ii.*openssl'
Oprava/oprava OpenSSL upgradem na nejnovější verzi
$sudo yum update openssl
Příklad výstupu:
Setting up Update Process Resolving Dependencies --> Running transaction check ---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated --> Processing Dependency: openssl = 1.0.1e-16.el6_5.4 for package: openssl-devel-1.0.1e-16.el6_5.4.x86_64 ---> Package openssl.x86_64 0:1.0.1e-30.el6.8 will be an update --> Running transaction check ---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated ---> Package openssl-devel.x86_64 0:1.0.1e-30.el6.8 will be an update --> Finished Dependency Resolution Dependencies Resolved ============================================================================================================================================================= Package Arch Version Repository Size ============================================================================================================================================================= Updating: openssl x86_64 1.0.1e-30.el6.8 updates 1.5 M Updating for dependencies: openssl-devel x86_64 1.0.1e-30.el6.8 updates 1.2 M Transaction Summary ============================================================================================================================================================= Upgrade 2 Package(s) Total download size: 2.7 M Downloading Packages: (1/2): openssl-1.0.1e-30.el6.8.x86_64.rpm | 1.5 MB 00:08 (2/2): openssl-devel-1.0.1e-30.el6.8.x86_64.rpm | 1.2 MB 00:08 ------------------------------------------------------------------------------------------------------------------------------------------------------------- Total 156 kB/s | 2.7 MB 00:17 Running rpm_check_debug Running Transaction Test Transaction Test Succeeded Running Transaction Updating : openssl-1.0.1e-30.el6.8.x86_64 1/4 Updating : openssl-devel-1.0.1e-30.el6.8.x86_64 2/4 Cleanup : openssl-devel-1.0.1e-16.el6_5.4.x86_64 3/4 Cleanup : openssl-1.0.1e-16.el6_5.4.x86_64 4/4 Verifying : openssl-1.0.1e-30.el6.8.x86_64 1/4 Verifying : openssl-devel-1.0.1e-30.el6.8.x86_64 2/4 Verifying : openssl-1.0.1e-16.el6_5.4.x86_64 3/4 Verifying : openssl-devel-1.0.1e-16.el6_5.4.x86_64 4/4 Updated: openssl.x86_64 0:1.0.1e-30.el6.8 Dependency Updated: openssl-devel.x86_64 0:1.0.1e-30.el6.8 Complete!
Na počítačích Debian a Ubuntu :
[debian/ubuntu ] $ apt-get update [debian/ubuntu ] $ apt-get upgrade
Aktualizovali jste OpenSSL. Nyní můžete restartovat server nebo restartovat služby, které používají OpenSSL.
Jak zjistit, které služby používají OpenSSL?
Níže uvedený příkaz zobrazí seznam služeb, které aktuálně běží a používají knihovnu OpenSSL.
$lsof | grep libssl | awk '{print $1}' | sort | uniq data-down httpd master mysqld php pickup postmaste
Restartujte všechny služby a je to, opravili jste zranitelnosti v OpenSSL verze 1.0.2, 1.0.1, 1.0.0 a 0.9.8.
Poznámka: I když tento příspěvek v budoucnu neaktualizuji, měli byste zajistit, aby byl váš systém vždy aktualizován nejnovějšími opravami.
Přečtěte si také:Seznam užitečných příkazů OpenSSL