J'ai suivi les instructions pour installer des mises à niveau sans assistance pour installer des mises à jour de sécurité automatiques sur mon serveur (serveur ubuntu 13.10).
https://help.ubuntu.com/community/AutomaticSecurityUpdates
Pouvez-vous m'aider à comprendre pourquoi ce matin j'ai toujours le bug heartbleed sur mon serveur?
$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan 8 20:58:47 UTC 2014
platform: debian-amd64
les autres informations:
$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";
$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03 15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03 15:34:02
Start-Date: 2014-04-04 10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04 10:26:40
Je vous remercie
upgrade
openssl
unattended-upgrades
Guillaume Vincent
la source
la source
/var/log/apt/history.log
?Réponses:
Vous n'avez pas la vulnérabilité Heartbleed sur votre serveur, OpenSSL a été corrigé pour résoudre ce problème (sans le mettre à niveau).
Vous avez omis plusieurs lignes importantes dans la sortie de la version OpenSSL, c'est ainsi que vous savez qu'il a été corrigé, pas avec le numéro de version:
La ligne «build on» est ce qui compte ici, le 7 avril ou après: vous êtes bon. Sinon: vous avez des ennuis.
Mise à jour, car la date de construction ne semble pas être bonne:
Peut-être que la mise à niveau sans assistance n'a pas encore été exécutée, sur mon serveur, les scripts dans cron.daily sont configurés pour s'exécuter à 6:25
Vérifiez également le contenu de /etc/apt/apt.conf.d/10periodic et vérifiez que les mises à jour de sécurité sont installées:
Source: https://help.ubuntu.com/lts/serverguide/automatic-updates.html
la source
built on: Wed Jan 8 20:58:47 UTC 2014 platform: debian-amd64
sudo apt-get update && sudo apt-get dist-upgrade
-vous et vous devriez être à jour.Tout d'abord, vous devez effectuer la mise à niveau. Les mises à niveau sans assistance ne s'exécutent qu'une fois par jour, et cela fait moins d'un jour depuis la sortie du correctif (2014-04-07 vers 20h00 GMT). Pour les excentriques, assurez-vous que vous avez mis à niveau vers la
libssl1.0.0
version 1.0.1e-3ubuntu1.2 ou supérieure. (Plus précisément, le correctif est venu dans la version 1.0.1-4ubuntu5.12.)Ensuite, notez qu'il s'agit d'une très mauvaise vulnérabilité: elle peut avoir permis à des attaquants d'obtenir des données confidentielles en se connectant à votre serveur vulnérable. Si vous exécutez un serveur SSL, toutes les données qui étaient dans la mémoire du serveur depuis un peu avant l'annonce de la vulnérabilité peuvent avoir été divulguées. Cela inclut, en particulier, la clé privée SSL du serveur, vous devez donc en générer une nouvelle et révoquer l'ancienne.
Pour plus d'informations, voir Comment corriger le bogue Heartbleed (CVE-2014-0160) dans OpenSSL?
la source
Vous ne pouvez pas faire confiance aux chaînes de version internes. La version indique
1.0.1e
et le bogue affecte de 1.0.0 à 1.0.0f. Est-ce suffisant pour déterminer si vous disposez toujours d'une version vulnérable d'OpenSL? Non. La version interne d'OpenSSL ne change pas, même si certaines mises à jour sont appliquées. La seule façon d'identifier de manière fiable votre version consiste à rechercher la version du gestionnaire de packages à l'aide d'apt-cache policy
un autre outil:Comme vous pouvez le voir, ma version de openssl est supérieure, à travers semble être affectée, car c'est 1.0.1f, maintenant si je vérifie les changelogs:
Ouais, je suis toujours affecté. Il n'y a aucune référence au CVE-2014-0160 dans le journal des modifications. Mais, je n'exécute aucun service SSL / TSL, je peux donc attendre. Je n'ai tout simplement pas à générer de certificats SSL à l'aide de cette version d'OpenSSL. Si je le fais, je n'ai qu'à suivre les conseils de Gilles: supprimer les services, révoquer le certificat, en générer de nouveaux.
la source