Mein Server ist auch nach dem Update von OpenSSL noch immer anfällig für Heartbleed

28

Ich habe einen Ubuntu 12.04 Server. Ich habe das OpenSSLPaket aktualisiert , um die Heartbleed-Sicherheitsanfälligkeit zu beheben. Aber ich bin immer noch verwundbar, obwohl ich den Webserver und sogar den gesamten Server neu gestartet habe.

Um meine Schwachstelle zu überprüfen, habe ich Folgendes verwendet:

dpkg gibt:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

user3301260
quelle
Ausgabe von openssl version -a?
Nathan C
Ich verwende auch einen 12.04 Server (mit Nginx). Meins ist so eingerichtet, dass Sicherheitsupdates automatisch installiert werden. Wenn ich das Python-Skript ausführe, heißt es "nicht anfällig". Haben Sie Nginx aus dem Paket-Repository oder manuell installiert?
Mikeazo
1
Was läuft auf diesem Port? Wenn es sich um eine Drittanbieter-App handelt, verfügen Sie möglicherweise über eine statische Bibliothek
Nathan C

Antworten:

29

Stellen Sie sicher, dass das libssl1.0.0Paket ebenfalls aktualisiert wurde (dieses Paket enthält die eigentliche Bibliothek, das opensslPaket enthält die Tools) und dass alle Dienste, die die Bibliothek verwenden, nach dem Upgrade neu gestartet wurden.

Sie müssen alle Dienste mit openssl (service apache restart) neu starten.

Håkan Lindqvist
quelle
4
Um eine Liste der Dienste zu erhalten, die Ihre ältere, jetzt ersetzte Version von libssl verwenden, versuchen Sie: "lsof -n | grep ssl | grep DEL". Oder, wenn Sie super-paranoid sind, können Sie eine Liste von allem mit einer beliebigen Version von libssl erhalten: "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

Es ist möglich, dass Sie ein falsch positiver Fall sind, laut FAQ :

Ich bekomme False Positives (rot)!

Seien Sie vorsichtig, es sei denn, Sie haben einen Fehler gemacht, indem Sie auf die Schaltfläche geklopft haben. Ich kann mir nicht vorstellen, dass ein Rot kein Rot ist.

Überprüfen Sie den Speicherauszug. Wenn er dort ist, hat das Tool ihn von irgendwoher abgerufen.

Angenommen, ich bin zu 99% sicher, dass Sie besser aussehen sollten, wenn Sie alle Prozesse nach der korrekten Aktualisierung neu gestartet haben.

Update: Trotzdem erhalte ich durchgehend Berichte über nicht betroffene Versionen, die rot werden. Bitte kommentieren Sie das Problem, wenn Sie betroffen sind. Ich suche nach 3 Dingen: Speicherabbildern (um herauszufinden, woher sie stammen), Zeitstempeln (so genau wie möglich, versuchen Sie es mit der Registerkarte Netzwerk), einer vollständigen Beschreibung dessen, was Sie angeklickt und eingegeben haben.

Sie können Ihre Site mit einem anderen Tool wie SSLLabs testen und feststellen , ob Sie immer noch als anfällig gemeldet werden.
Sie sollten das Problem auch mit dem http://filippo.io/Heartbleed-Tester wie oben beschrieben melden .

voretaq7
quelle
Kam als anfällig für Heartbleed mit SSLLabs
Matt
@Matt Vielleicht haben Sie dann tatsächlich ein Problem - sehen Sie sich den Speicherauszug an (bekommen Sie einen?) Und schließen Sie sich den netten Leuten hinter dem Tool filippo.io an.
Voretaq7
2

Sie haben wahrscheinlich ein Programm, das 443 mit einer statisch verknüpften openssl-Bibliothek abhört. Dies bedeutet, dass das Programm über ein eigenes OpenSL-Paket verfügt - aktualisieren Sie auch dieses Programm! Ist dies nicht der Fall, benachrichtigen Sie sofort den Verkäufer und setzen Sie die Anwendung aus, wenn dies möglich ist!

Nathan C
quelle
2

Möglicherweise tritt der auf der FAQ- Seite aufgeführte Fehler auf . Es scheint, dass Sie unter bestimmten Umständen auch auf einem gepatchten System eine verwundbare Benachrichtigung erhalten können.

Ich bekomme False Positives (rot)!

Seien Sie vorsichtig, es sei denn, Sie haben einen Fehler gemacht, indem Sie auf die Schaltfläche geklopft haben. Ich kann mir nicht vorstellen, dass ein Rot kein Rot ist. Überprüfen Sie den Speicherauszug. Wenn er dort ist, hat das Tool ihn von irgendwoher abgerufen. Angenommen, ich bin zu 99% sicher, dass Sie besser aussehen sollten, wenn Sie alle Prozesse nach der korrekten Aktualisierung neu gestartet haben.

Update: Trotzdem erhalte ich durchgehend Berichte über nicht betroffene Versionen, die rot werden. Bitte kommentieren Sie das Problem, wenn Sie betroffen sind. Ich suche nach 3 Dingen: Speicherabbildern (um herauszufinden, woher sie stammen), Zeitstempeln (so genau wie möglich, versuchen Sie es mit der Registerkarte Netzwerk), einer vollständigen Beschreibung dessen, was Sie angeklickt und eingegeben haben.

Ich würde empfehlen, mit einem alternativen Test wie Qualys zu testen, um sicherzustellen , dass Ihr System nicht mehr anfällig ist. Wenn es nicht bei Github ist, melde es.


Es ist immer noch kaputt

Was ist? Der "Server", über den Sie sprechen, verfügt möglicherweise über eine statisch verknüpfte OpenSSl-Bibliothek. Obwohl Sie Ihr System aktualisiert haben, ist Ihre Anwendung dennoch gefährdet! Sie müssen sofort mit dem Softwarehersteller sprechen, um einen Patch zu erhalten, oder den Dienst deaktivieren, bis Sie dies tun.

Muss ich den Dienst wirklich deaktivieren, bis der Patch veröffentlicht ist?

Ja, die Ausführung eines anfälligen Dienstes ist bis zur möglichen Nachlässigkeit äußerst gefährlich! Sie könnten Daten verlieren, die der Server vom Transport entschlüsselt und die Sie nicht einmal kennen!

Jacob
quelle
0

Dies ist sehr gut möglich, wenn die auf 443 ausgeführte Anwendung eine statische Bibliothek für OpenSSL verwendet. In diesem Fall müssen Sie diese Anwendung aktualisieren , um nicht mehr anfällig zu sein.

Nathan C
quelle
0

Endlich konnte ich mein OP-ähnliches Problem beheben. Mein Server ist ein LAMP-Stack von Bitnami. Befolgen Sie diese Anweisungen:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

Matt
quelle