He seguido las instrucciones para instalar actualizaciones desatendidas para instalar actualizaciones de seguridad automáticas en mi servidor (ubuntu server 13.10).
https://help.ubuntu.com/community/AutomaticSecurityUpdates
¿Me pueden ayudar a entender por qué esta mañana todavía tengo el error de heartbleed en mi servidor?
$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan 8 20:58:47 UTC 2014
platform: debian-amd64
otra información:
$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";
$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03 15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03 15:34:02
Start-Date: 2014-04-04 10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04 10:26:40
Gracias
upgrade
openssl
unattended-upgrades
Guillaume Vincent
fuente
fuente
/var/log/apt/history.log
?Respuestas:
No tiene la vulnerabilidad Heartbleed en su servidor, OpenSSL ha sido parcheado para solucionar este problema (sin actualizarlo).
Ha dejado de lado varias líneas importantes en la salida de la versión de OpenSSL, así es como sabe que ha sido parcheada, no con el número de versión:
La línea 'construir en' es lo que importa aquí, el 7 de abril o después: estás bien. De lo contrario: estás en problemas.
Actualización, ya que la fecha de compilación no parece ser buena:
Tal vez la actualización desatendida aún no se haya ejecutado, en mi servidor los scripts en cron.daily están configurados para ejecutarse a las 6:25
Además, verifique el contenido de /etc/apt/apt.conf.d/10periodic y verifique que las actualizaciones de seguridad estén instaladas:
Fuente: https://help.ubuntu.com/lts/serverguide/automatic-updates.html
fuente
built on: Wed Jan 8 20:58:47 UTC 2014 platform: debian-amd64
sudo apt-get update && sudo apt-get dist-upgrade
y deberías estar al día.Primero, debe realizar la actualización. Las actualizaciones desatendidas solo se ejecutan una vez al día, y ha pasado menos de 1 día desde que salió la solución (2014-04-07 alrededor de las 20:00 GMT). Por descarado, asegúrese de haber actualizado a la
libssl1.0.0
versión 1.0.1e-3ubuntu1.2 o superior. (En concreto, la solución vino en la versión 1.0.1-4ubuntu5.12.)A continuación, tenga en cuenta que esta es una vulnerabilidad muy grave: puede haber permitido a los atacantes obtener datos confidenciales conectándose a su servidor vulnerable. Si está ejecutando un servidor SSL, es posible que se hayan filtrado los datos que estaban en la memoria del servidor desde un poco antes de que se anunciara la vulnerabilidad. Esto incluye, en particular, la clave privada SSL del servidor, por lo que debe generar una nueva y revocar la anterior.
Para obtener más información, consulte Cómo parchear el error Heartbleed (CVE-2014-0160) en OpenSSL?
fuente
No puede confiar en las cadenas de versión interna. La versión dice
1.0.1e
y el error afecta de 1.0.0 a 1.0.0f. ¿Es esto suficiente para determinar si todavía tienes una versión vulnerable de openssl? No. La versión interna de OpenSSL no cambia, aunque se aplican algunas actualizaciones. La única forma de identificar de manera confiable su versión es buscar la versión del administrador de paquetes usandoapt-cache policy
u otra herramienta:Como puede ver, mi versión de openssl es superior, ya que parece estar afectada, ya que es 1.0.1f, ahora si reviso los registros de cambios:
Sí, todavía estoy afectado. No hay ninguna referencia al CVE-2014-0160 en el registro de cambios. Pero no estoy ejecutando ningún servicio SSL / TSL, así que puedo esperar. Simplemente no tengo que generar certificados SSL con esta versión de OpenSSL. Si lo hago, solo tengo que seguir los consejos de Gilles: eliminar los servicios, revocar el certificado, generar nuevos.
fuente