Mon serveur est toujours vulnérable au cœur même après avoir mis à jour OpenSSL

28

J'ai un serveur Ubuntu 12.04. J'ai mis à jour le OpenSSLpackage afin de corriger la vulnérabilité Heartbleed. Mais je suis toujours vulnérable même si j'ai redémarré le serveur Web, et même l'ensemble du serveur.

Pour vérifier ma vulnérabilité, j'ai utilisé:

dpkg donne:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

ubuntu nginx security openssl heartbleed user3301260
la source
Sortie de openssl version -a?
Nathan C
J'utilise également le serveur 12.04 (avec nginx). Le mien est configuré pour installer automatiquement les mises à jour de sécurité et lorsque j'exécute le script python, il dit non vulnérable. Avez-vous installé nginx à partir du référentiel de packages ou manuellement?
mikeazo
1
Que courez-vous sur ce port? Si c'est une application tierce, vous pourriez avoir une bibliothèque statique
Nathan C

Réponses:

29

Assurez-vous que le libssl1.0.0package a également été mis à jour (ce package contient la bibliothèque réelle, le opensslpackage contient les outils) et que tous les services utilisant la bibliothèque ont été redémarrés après la mise à niveau.

Vous devez REDÉMARRER tous les services en utilisant openssl (service apache restart).

Håkan Lindqvist
la source
4
Pour obtenir une liste des services utilisant votre ancienne version de libssl, désormais remplacée, essayez: "lsof -n | grep ssl | grep DEL". Ou, si vous êtes super paranoïaque, vous pouvez obtenir une liste de tout en utilisant n'importe quelle version de libssl: "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

Il est possible que vous soyez un faux positif, selon la FAQ :

Je reçois des faux positifs (rouge)!

Soyez prudent, à moins que vous n'ayez glitché le site en martelant le bouton, il n'y a aucun moyen que je puisse penser qu'un rouge n'est pas un rouge.

Vérifiez le vidage de la mémoire, s'il est là, l'outil l'a obtenu de quelque part.

Disons que je suis certain à 99% que vous devriez mieux regarder si vous avez redémarré tous les processus après une mise à jour correcte.

Mise à jour: toujours, je reçois régulièrement des rapports de versions non affectées devenant rouges. Veuillez commenter le problème si vous êtes concerné. Je cherche 3 choses: des vidages de mémoire (pour savoir d'où ils viennent), des horodatages (aussi précis que possible, essayez avec l'onglet Réseau), une description complète de ce que vous avez cliqué et tapé.

Vous pouvez tester votre site à l'aide d'un autre outil comme SSLLabs et voir si vous êtes toujours signalé comme vulnérable.
Vous devez également signaler le problème avec le testeur http://filippo.io/Heartbleed comme décrit ci-dessus.

voretaq7
la source
Est apparu vulnérable à Heartbleed en utilisant SSLLabs
Matt
@Matt Vous pouvez en fait avoir un problème alors - consultez le vidage de la mémoire (en avez-vous un?) Et connectez-vous avec les gens sympathiques derrière l'outil filippo.io.
voretaq7
2

Vous avez probablement un programme d'écoute sur 443 qui a une bibliothèque openssl liée de manière statique. Cela signifie que le programme a son propre openssl emballé avec lui - mettez également à jour ce programme! Si vous n'êtes pas disponible, informez immédiatement le vendeur et suspendez cette application si possible!

Nathan C
la source
2

Il est possible que vous rencontriez le bogue répertorié sur la page FAQ . Il semble que dans certaines circonstances, vous pouvez obtenir une notification vulnérable même sur un système corrigé.

Je reçois des faux positifs (rouge)!

Soyez prudent, à moins que vous n'ayez glitché le site en martelant le bouton, il n'y a aucun moyen que je puisse penser qu'un rouge n'est pas un rouge. Vérifiez le vidage de la mémoire, s'il est là, l'outil l'a obtenu de quelque part. Disons que je suis certain à 99% que vous devriez mieux regarder si vous avez redémarré tous les processus après une mise à jour correcte.

Mise à jour: toujours, je reçois régulièrement des rapports de versions non affectées devenant rouges. Veuillez commenter le problème si vous êtes concerné. Je cherche 3 choses: des vidages de mémoire (pour savoir d'où ils viennent), des horodatages (aussi précis que possible, essayez avec l'onglet Réseau), une description complète de ce que vous avez cliqué et tapé.

Je suggère de tester avec un autre test tel que Qualys pour confirmer que votre système n'est plus vulnérable. Si ce n'est pas le cas, rendez-vous sur Github et signalez-le.

C'est encore cassé

Quel est? Le «serveur» dont vous parlez peut avoir une bibliothèque OpenSSl liée statique. Cela signifie que même si vous avez mis à jour votre système, votre application est toujours en danger! Vous devez parler immédiatement au fournisseur du logiciel pour obtenir un correctif ou désactiver le service jusqu'à ce que vous le fassiez.

Dois-je vraiment désactiver le service jusqu'à la sortie du correctif?

Oui, la gestion d'un service vulnérable est extrêmement dangereuse au point de la négligence possible! Vous pourriez divulguer des données que le serveur déchiffre lors du transport et ne même pas le savoir!

Jacob
la source
0

Ceci est très possible si l'application exécutée sur 443 utilise une bibliothèque statique pour OpenSSL. Si tel est le cas, vous devez mettre à jour cette application pour ne plus être vulnérable.

Nathan C
la source
0

J'ai finalement pu résoudre mon problème qui était similaire à OP. Mon serveur est une pile LAMP de Bitnami. En suivant ces instructions:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

Mat
la source