GNU/Linux >> Znalost Linux >  >> Cent OS

Chraňte servery CentOS 6 před novou chybou zabezpečení OpenSSL

CloudLinux nabízí rozšířenou podporu do roku 2024, aby byly vaše servery CentOS 6 zabezpečené před novou zranitelností OpenSSL.

OpenSSL nedávno vydalo bezpečnostní opravu pro nález na vysoké úrovni, který se týká všech serverů s verzemi 1.0.2 a 1.1.1. Bohužel OpenSSL oznámilo, že nevydá záplaty pro CentOS 6, pouze CentOS 7 a CentOS 8. To ponechává jakýkoli server s neopraveným OpenSSL včetně operačního systému CentOS 6 zranitelný vůči odmítnutí služby (DoS), kde software, kritické služby, nebo může dojít k selhání operačního systému. CloudLinux však opraví aktuální verze OpenSSL, nepodporovanou verzi 1.0.1 a servery s operačním systémem CentOS 6.

Podrobnosti o chybě zabezpečení pro CVE-2020-1971

OpenSSL má funkci s názvem GENERAL_NAME_cmp() který porovná dva parametry a provede následující dvě akce:

  1. Porovná certifikát X.509 s položkami v seznamu odvolaných certifikátů (CRL).
  2. Porovnává časové razítko podepisujícího tokenu odpovědi s časovým razítkem názvu autority.

Funkce je důležitá v zabezpečené komunikaci, aby bylo zajištěno, že certifikát nebyl zrušen. Organizace certifikační autority (CA) odvolávají certifikáty z několika důvodů. Pokud jsou soukromé klíče serveru odcizeny kvůli kompromitaci, certifikační autorita zruší certifikáty, aby ochránila integritu komunikace. Mezi další důvody revokace patří zneužití certifikátu a nutnost zveřejnění nového certifikátu, kompromitace CA nebo vytvoření certifikátů CA bez autorizace od vlastníka domény. V kterémkoli z těchto případů by se útočník mohl vydávat za cílovou doménu a přimět uživatele, aby důvěřovali webu, což by pak mohlo vést k sofistikovanému phishingovému útoku a prozrazení citlivých údajů.

Pokud může útočník ovládat oba parametry předané do GENERAL_NAME_cmp() Pokud jsou oba parametry stejného typu, bude podmínka DoS splněna. Výzkumník společnosti Google, který našel zranitelnost, byl schopen provést demonstraci proof-of-concept tím, že funkci předal dva parametry typu EDIPartyName , definovaný v kódu OpenSSL.

Oprava chyby zabezpečení s přiděleným ID CVE-2020-1971 , byl vydán 8. prosince 2020. Změny v open-source kódu lze nalézt v úložišti Github společnosti OpenSSL . Více o zranitelnosti si můžete přečíst v oznámení OpenSSL stránku.

Co se může stát, když je OpenSSL ponecháno bez záplaty?

Zatímco vzdálené spouštění kódu (RCE) není problémem, neopravené servery by mohly podléhat DoS a potenciálně stavu distribuovaného odmítnutí služby (DDoS), kdy by služby mohly být offline a nedostupné uživatelům. Kritické servery, které musí zůstat dostupné pro obchodní produktivitu nebo musí být online, aby byly splněny smlouvy o úrovni služeb, by mohly být cílem útočníků. CVE nastavilo úroveň rizika na „Vysoké“, což znamená, že je to pro organizace považováno za vážnou zranitelnost. Pouze zranitelnosti označené jako „kritické“ jsou závažnější a tyto zranitelnosti se vyskytují přibližně jednou za pět let.

Zmírnění s rozšířenou podporou pro CentOS 6 a/nebo KernelCare+

CloudLinux Extended Support pro CentOS 6 má pro své zákazníky k dispozici tuto bezpečnostní opravu. Konec životnosti (EOL) pro CentOS 6 byl listopad 2020, ale CloudLinux nabízí rozšířenou podporu až do roku 2024, aby byly servery zabezpečené před zranitelností openSSL, dokud správci nebudou moci upgradovat na novější verze operačního systému. Chcete-li se přihlásit k rozšířené podpoře, vyplňte tento formulář .

KernelCare také podporuje živé opravy pro OpenSSL a několik dalších sdílených knihoven .

Instalace CloudLinux Extended Support pro CentOS 6

Instalace CloudLinux Extended Support vyžaduje pouze několik příkazů.

Stáhněte si instalační skript:

wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.py

Spusťte instalační skript (všimněte si, že potřebujete svůj licenční klíč):

python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX

Výše uvedený příkaz nainstaluje centos-els-release balíček obsahující klíč PGP úložiště. Dokončení instalace můžete zajistit spuštěním následujícího příkazu:

rpm -q centos-els-release

Výstup z výše uvedeného příkazu by měl zobrazovat:

centos-els-release-6-6.10.1.el6.x86_64

Poznámka: Stávající zákazníci, kteří k 1. prosinci 2020 stále používají CentOS, byli automaticky převedeni na podporu EOL.

Instalace KernelCare+

KernelCare+ je stejně snadné jako instalace CloudLinux ES. Chcete-li nainstalovat KernelCare+, spusťte jeden z následujících příkazů:

curl -s -L https://kernelcare.com/installer | bash

Nebo,

wget -qq -O - https://kernelcare.com/installer | bash

Další informace o instalaci KernelCare+ naleznete v oficiální dokumentaci .

Závěr

Výzkumníci naznačují, že tuto zranitelnost OpenSSL je mnohem obtížnější zneužít, ale to neznamená, že byste měli odkládat opravy svých serverů. Ať už to plánujete udělat ručně, upgradovat na novější verzi OpenSSL nebo se rozhodnete pro živé opravy pomocí KernelCare+, udělejte to okamžitě! OpenSSL stále zůstává jednou z nejvíce softwarově cílených technologií a útoky DDoS jsou častější, než by se mohlo zdát.

Související čtení:

  • 5 nástrojů pro záplatování jádra, které pomohou provozovat linuxové servery bez restartování

Cent OS
  1. Upgradujte z CentOS 6 na CentOS 7

  2. Jak upgradovat CentOS 6.10 z CentOS 6.9-6.0

  3. Jak upgradovat CentOS 7.8 z CentOS 7.7-7.0

  1. Jak zkompilovat Brotli ze zdroje na CentOS 7

  2. Upgradujte na CentOS 6.2 z CentOS 6.1 / CentOS 6.0

  3. Nainstalujte Nessus Vulnerability Scanner na CentOS

  1. Upgradujte na CentOS 6.4 z CentOS 6.3

  2. Jak migrovat z Centos 8 na Rocky Linux 8

  3. Jak převést z CentOS Linux 8 na CentOS Stream 8