Mi servidor aún es vulnerable a heartbleed incluso después de actualizar OpenSSL

28

Tengo un servidor Ubuntu 12.04. He actualizado el OpenSSLpaquete para corregir la vulnerabilidad de heartbleed. Pero aún soy vulnerable, incluso aunque haya reiniciado el servidor web, e incluso todo el servidor.

Para verificar mi vulnerabilidad utilicé:

dpkg da:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

ubuntu nginx security openssl heartbleed usuario3301260
fuente
Salida de openssl version -a?
Nathan C
También estoy ejecutando el servidor 12.04 (con nginx). El mío está configurado para instalar automáticamente actualizaciones de seguridad y cuando ejecuto el script python dice que no es vulnerable. ¿Instalaste nginx desde el repositorio de paquetes o manualmente?
mikeazo
1
¿Qué estás ejecutando en este puerto? Si se trata de una aplicación de terceros, es posible que tenga una biblioteca estática
Nathan C

Respuestas:

29

Asegúrese de que el libssl1.0.0paquete también se haya actualizado (ese paquete contiene la biblioteca real, el opensslpaquete contiene las herramientas) y que todos los servicios que usan la biblioteca se han reiniciado después de la actualización.

Debe REINICIAR todos los servicios utilizando openssl (reinicio de apache de servicio).

Håkan Lindqvist
fuente
44
Para obtener una lista de los servicios que utilizan su versión anterior, ahora reemplazada, de libssl, intente: "lsof -n | grep ssl | grep DEL". O, si eres súper paranoico, puedes obtener una lista de todo usando cualquier versión de libssl: "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

Es posible que sea un caso falso positivo, según las preguntas frecuentes :

¡Estoy recibiendo falsos positivos (rojo)!

Tenga cuidado, a menos que haya fallado el sitio presionando el botón, no hay forma de que pueda pensar que un rojo no es rojo.

Compruebe el volcado de memoria, si está allí, entonces la herramienta lo obtuvo de alguna parte.

Digamos que estoy 99% seguro de que debería verse mejor si reinicia todos los procesos después de actualizar correctamente.

Actualización: aún así, recibo constantemente informes de versiones no afectadas que se vuelven rojas. Por favor, venga comentario a la cuestión si se ven afectados. Estoy buscando 3 cosas: volcados de memoria (para averiguar de dónde provienen), marcas de tiempo (lo más preciso posible, intente con la pestaña Red), una descripción completa de lo que hizo clic y escribió.

Puede probar su sitio utilizando otra herramienta como SSLLabs y ver si aún se le informa como vulnerable.
También debe informar el problema con el http://filippo.io/Heartbleed tester como se describió anteriormente.

voretaq7
fuente
Surgió como vulnerables a heartbleed utilizando SSLLabs
Matt
@Matt De hecho, es posible que tenga un problema: consulte el volcado de memoria (¿está obteniendo uno?) Y conéctese con la gente agradable detrás de la herramienta filippo.io.
voretaq7
2

Es probable que tenga un programa escuchando en 443 que tiene una biblioteca openssl estáticamente vinculada. Esto significa que el programa tiene su propio openssl empaquetado con él: ¡actualice este programa también! Si no está disponible, notifique al vendedor de inmediato y suspenda esta aplicación si es posible.

Nathan C
fuente
2

Es posible que experimente el error que aparece en la página de preguntas frecuentes . Parece que, bajo ciertas circunstancias, puede recibir una notificación vulnerable incluso en un sistema parcheado.

¡Estoy recibiendo falsos positivos (rojo)!

Tenga cuidado, a menos que haya fallado el sitio presionando el botón, no hay forma de que pueda pensar que un rojo no es rojo. Compruebe el volcado de memoria, si está allí, entonces la herramienta lo obtuvo de alguna parte. Digamos que estoy 99% seguro de que debería verse mejor si reinicia todos los procesos después de actualizar correctamente.

Actualización: aún así, recibo constantemente informes de versiones no afectadas que se vuelven rojas. Comente el problema si se ve afectado. Estoy buscando 3 cosas: volcados de memoria (para averiguar de dónde provienen), marcas de tiempo (lo más preciso posible, intente con la pestaña Red), una descripción completa de lo que hizo clic y escribió.

Sugeriría probar con una prueba alternativa como Qualys para confirmar que su sistema ya no es vulnerable. Si no está, dirígete a Github y repórtalo .

Todavía está roto

¿Que es? El "servidor" del que habla puede tener una biblioteca OpenSSl enlazada estática. Esto significa que, aunque haya actualizado su sistema, su aplicación aún está en riesgo. Debe hablar con el proveedor de software de inmediato para obtener un parche o desactivar el servicio hasta que lo haga.

¿Realmente tengo que deshabilitar el servicio hasta que salga el parche?

¡Sí, ejecutar un servicio vulnerable es extremadamente peligroso hasta el punto de una posible negligencia! ¡Podría estar filtrando cualquier información que el servidor descifre del transporte y ni siquiera lo sabe!

Jacob
fuente
0

Esto es muy posible si la aplicación que se ejecuta en 443 usa una biblioteca estática para OpenSSL. Si este es el caso, debe actualizar esa aplicación para que ya no sea vulnerable.

Nathan C
fuente
0

Finalmente pude solucionar mi problema que era similar a OP. Mi servidor es una pila LAMP de Bitnami. Siguiendo estas instrucciones:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

Mate
fuente