Warum behebt Unbeaufsichtigt-Upgrades keinen Heartbleed-Fehler?

20

Ich habe die Anweisung zur Installation von unbeaufsichtigten Upgrades befolgt, um automatische Sicherheitsupdates auf meinem Server (Ubuntu Server 13.10) zu installieren.

https://help.ubuntu.com/community/AutomaticSecurityUpdates

Können Sie mir helfen, zu verstehen, warum ich heute Morgen immer noch den Heartbleed-Bug auf meinem Server habe?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

andere Informationen:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

Vielen Dank

Guillaume Vincent
quelle
2
Beantworte deine Frage nicht, aber sieh dir die Antwort hier an, um dein Betriebssystem zu reparieren. Askubuntu.com/questions/444817/am-i-affected-heartbleed-bug
Ring Ø
Ich bin damit einverstanden, dass Sie eine aktualisierte Version haben sollten. Mein 12.04 Server wird automatisch aktualisiert und wurde gestern aktualisiert. Hast du nachgesehen /var/log/apt/history.log?
Jos
@jos Ich hatte den Inhalt meines /var/log/apt/history.log, keine weiteren Informationen hier
Guillaume Vincent

Antworten:

28

Sie haben die Heartbleed-Sicherheitsanfälligkeit nicht auf Ihrem Server. OpenSSL wurde gepatcht, um dieses Problem zu beheben (ohne es zu aktualisieren).

Sie haben einige wichtige Zeilen in der OpenSSL-Versionsausgabe ausgelassen. So wissen Sie, dass sie gepatcht wurden und nicht mit der Versionsnummer:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Hier kommt es darauf an, ob Sie am 7. April oder danach arbeiten: Sie sind gut. Ansonsten: Sie stecken in Schwierigkeiten.

Update, da das Erstellungsdatum nicht gut zu sein scheint:

Möglicherweise wurde das unbeaufsichtigte Upgrade noch nicht ausgeführt. Auf meinem Server sind die Skripts in cron.daily so konfiguriert, dass sie um 6:25 Uhr ausgeführt werden

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Überprüfen Sie auch den Inhalt von /etc/apt/apt.conf.d/10periodic und stellen Sie sicher, dass Sicherheitsupdates installiert sind:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

Quelle: https://help.ubuntu.com/lts/serverguide/automatic-updates.html

Mathieu Comandon
quelle
1
Ich bin in Schwierigkeiten :(built on: Wed Jan 8 20:58:47 UTC 2014 platform: debian-amd64
Guillaume Vincent
Laufen sudo apt-get update && sudo apt-get dist-upgradeSie einfach und Sie sollten auf dem Laufenden sein.
Edd Turtle
Danke @EddTurtle, das ist nicht meine Frage! Meine Frage ist, warum automatisches Update nicht funktioniert!
Guillaume Vincent
Mein /etc/apt/apt.conf.d/10periodic war nicht gut oder der Cron hat um 5 Uhr morgens kein Upgrade gefunden. Vielen Dank @ mathieu-comandon
Guillaume Vincent
@guillaumevincent Mir ist gerade aufgefallen, dass unbeaufsichtigte Upgrades das letzte Paket waren, das Sie installiert haben - es musste also ein Konfigurationsproblem sein.
Jos
12

Zunächst müssen Sie das Upgrade durchführen. Unbeaufsichtigte Upgrades werden nur einmal am Tag ausgeführt. Seit der Veröffentlichung des Fixes (07.04.2014 um 20:00 Uhr GMT) ist weniger als ein Tag vergangen. libssl1.0.0Stellen Sie sicher, dass Sie ein Upgrade auf Version 1.0.1e-3ubuntu1.2 oder höher durchgeführt haben. (Genauer gesagt, das Update wurde in Version 1.0.1-4ubuntu5.12 veröffentlicht.)

Beachten Sie als Nächstes, dass dies eine sehr schlechte Sicherheitsanfälligkeit ist: Möglicherweise konnten Angreifer vertrauliche Daten durch Herstellen einer Verbindung zu Ihrem anfälligen Server abrufen. Wenn Sie einen SSL-Server verwenden, sind möglicherweise Daten verloren gegangen, die sich im Speicher des Servers befanden, kurz bevor die Sicherheitsanfälligkeit gemeldet wurde. Dies beinhaltet insbesondere den privaten SSL-Schlüssel des Servers. Sie sollten daher einen neuen generieren und den alten widerrufen.

Weitere Informationen finden Sie unter Patchen des Heartbleed-Fehlers (CVE-2014-0160) in OpenSSL.

Gilles 'SO - hör auf böse zu sein'
quelle
Etwa zwei Jahre lang ist möglicherweise etwas im Arbeitsspeicher des Servers durchgesickert, nicht nur zum Zeitpunkt der Ankündigung.
Pieroxy
@pieroxy Alles, was sich seit langer Zeit im Speicher des Servers befindet, wurde höchstwahrscheinlich überschrieben, sodass Sie sich auch über viele andere Angriffsmethoden Gedanken machen sollten. Die Ausnahme ist, wenn Sie sich Sorgen um Gegner machen, die den Fehler möglicherweise früher kannten und ihn leise ausnutzten - Gegner auf Regierungsebene hätten es möglicherweise gewusst -, ist es unwahrscheinlich, dass gewöhnliche Gauner dies hätten tun können.
Gilles 'SO- hör auf böse zu sein'
7

Sie können internen Versionszeichenfolgen nicht vertrauen. Die Version sagt 1.0.1eund der Fehler betrifft von 1.0.0 bis 1.0.0f. Ist dies genug, um festzustellen, ob Sie noch eine anfällige Version von openssl haben? Nein. Die interne Version von OpenSSL ändert sich nicht, obwohl einige Updates angewendet werden. Die einzige Möglichkeit, Ihre Version zuverlässig zu identifizieren, besteht darin, die Paketmanagerversion mit einem apt-cache policyoder einem anderen Tool zu ermitteln:

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

Wie Sie sehen, ist meine Version von openssl überlegen und scheint betroffen zu sein, da es 1.0.1f ist. Wenn ich jetzt die Änderungsprotokolle überprüfe:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <[email protected]>  Mon, 06 Jan 2014 18:50:54 +0100

Ja, ich bin immer noch betroffen. Das Changelog enthält keinerlei Verweise auf CVE-2014-0160. Ich verwende jedoch keinen SSL / TSL-Dienst, sodass ich warten kann. Ich muss mit dieser Version von OpenSSL nur keine SSL-Zertifikate generieren. Wenn ich das tue, muss ich nur Gilles Rat befolgen: Die Services ausschalten, das Zertifikat widerrufen, neue generieren.

Braiam
quelle
Hinweis: "apt-cache changelog" ist für mich kein gültiger Befehl, "aptitude changelog" jedoch.
ColinM
1
@ColinM sorry, war apt-get, kein apt-cache, Zwischenablageproblem.
Braiam