Wie kann ich die Sicherheitsanfälligkeit [CVE-2014-0224] in OpenSSL patchen?

7

Ich habe eine Warnung von der Behörde erhalten, die mein Zertifikat erstellt hat. Sie besagt, dass OpenSSL einen Fehler enthält und dass dies Auswirkungen auf die Versionen 1.0.1 hat.

Soweit ich weiß , muss ich auf 1.0.1h aktualisieren , um diesen Fehler zu beheben.

Dies ist das erste Mal, dass ich mich mit diesen Dingen beschäftige, und ich mache mir Sorgen darüber, wie sich dies auf meinen Server auswirken wird.

Muss ich Dienste neu starten? Und was genau? Ich muss sicherstellen, dass dies nicht zu lange dauert.

security openssl Shadin
quelle
4
@cshubhamrao Dies ist nicht der Heartbleed Bug. Dies ist eine andere. Also kein Betrüger.
VenkiPhy6
1
Wirklich leid, mein schlechtes.
Cshubhamrao
Genau wie zu Ihrer Information müssen Sie Ihr Zertifikat nicht ändern / erneuern.
TheTuxRacer

Antworten:

4

Die gegebene Antwort beantwortet die Frage nicht und was das neueste Paket für x86_64 14.04 betrifft, lautet die neueste OpenSL-Paketinformation (wenn andere Unterschiede haben, lassen Sie es mich bitte wissen):

openssl:
  Installed: 1.0.1f-1ubuntu2.3
  Candidate: 1.0.1f-1ubuntu2.3
  Version table:
 *** 1.0.1f-1ubuntu2.3 0
        500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty-updates/main amd64 Packages
        500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty-security/main amd64 Packages
        500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu/ trusty-security/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1f-1ubuntu2 0
        500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty/main amd64 Packages
        500 http://us.archive.ubuntu.com/ubuntu/ trusty/main amd64 Packages

Ich habe mit der Installation / Aktualisierung auf Version 1.0.1h von HIER herumgespielt und noch kein Glück gehabt. Wenn ich Fortschritte mache, werde ich wieder einchecken.

***** UPDATE: Also habe ich die Lösung in einem anderen Thread gefunden, der nur aktualisiert werden musste (Quellbeitrag unten aufgeführt): **

Unterhalb der einzelnen Befehlszeile zum Kompilieren und Installieren der letzten openssl-Version.

curl https://www.openssl.org/source/openssl-1.0.1h.tar.gz | tar xz && cd openssl-1.0.1h && sudo ./config && sudo make && sudo make install

Ersetzen Sie die alte openssl-Binärdatei über einen Symlink durch die neue. Gehen Sie im Terminal zu / usr / bin und führen Sie den folgenden Befehl aus 

sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`

Starten Sie neu und Sie können loslegen. Möglicherweise möchten / müssen Sie neue Zertifikate erstellen. Hier ist der ursprüngliche Thread / Beitrag, den ich aktualisiert habe. QUELLE

Meine Ausgabe nach dem Ausführen von Befehlen und dem Neustart:

OpenSSL 1.0.1h 5 Jun 2014
built on: Sat Jun 14 22:43:13 EDT 2014
platform: linux-x86_64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -DTERMIO -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
JohnRB
quelle
Das liegt daran, dass Ubuntu keine völlig neuen Softwareversionen in veröffentlichten Distributionen veröffentlicht. Sie nehmen die Patches, die die Sicherheits- / Funktionsprobleme beheben, und wenden sie auf die vorhandene Version an, daher .3am Ende der Versionszeichenfolge.
Saiarcot895
John ... Du bist der Mann ...! Super wie für diese Antwort
J Bourne
6

  1. Stellen Sie sicher, dass Sie eine aktuell unterstützte Version haben: 10.04-Server, 12.04, 14.04 oder 13.10.

    ~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 12.04.4 LTS
Release:    12.04
Codename:   precise

  2. Stellen Sie sicher, dass Sie die neuesten Updates installieren. sudo apt-get update && sudo apt-get upgrade

  3. Überprüfen. apt-cache policy opensslsollte als installierte Version angezeigt werden 1.0.1-4ubuntu5.14.

    apt-cache policy openssl
openssl:
  Installed: 1.0.1-4ubuntu5.14
  Candidate: 1.0.1-4ubuntu5.14
  Version table:
 *** 1.0.1-4ubuntu5.14 0
        500 http://archive.ubuntu.com/ubuntu/ precise/main i386 Packages
        500 http://archive.ubuntu.com/ubuntu/ precise-security/main i386 Packages
        500 http://archive.ubuntu.com/ubuntu/ precise-updates/main i386 Packages
        100 /var/lib/dpkg/status

  4. Starten Sie alle Dienste oder das System neu, um sicherzugehen.

Mikewas auch immer
quelle
apt-get updateund apt-get upgradesind auf vielen (den meisten?) Systemen standardmäßig der gleiche Befehl. Der Benutzer muss sie spezifisch nicht gleich machen, indem er irgendwo eine Einstellung ändert.
Tryse
1
@trysis updateaktualisiert die Paketquellen und upgradeaktualisiert die tatsächlichen Pakete, sodass sie nicht gleich sind und beide benötigt werden (sofern dies nicht geändert wurde).
Sorry, ich dachte an yum-updatevs yum-upgrade.
Tryse
Ich werde das Update von hier aus installieren openssl.org/source [openssl-1.0.1h.tar.gz] Ist es dieselbe Version [1.0.1-4ubuntu5.14]?
Shadin
1
Ich bin mir nicht sicher, warum du das tun würdest. Ich würde empfehlen, Updates von den Ubuntu-Repositorys nur zu installieren, wenn dies möglich ist. Die Version ist nicht dieselbe, wie aus der Nummerierung hervorgeht.
Mike, was auch immer
0

Die Sicherheitsanfälligkeit betrifft OpenSSL-Clients. Clients, die OpenSSL-Versionen unter 1.0.1 verwenden und eine Verbindung zu Servern mit OpenSSL-Versionen 1.0.1 und höher herstellen, sind anfällig und sollten aktualisiert werden.

Das OpenSSL-Team hat eine neue Version veröffentlicht .

Die einzige Möglichkeit, dies zu beheben, besteht darin, aktualisierte OpenSSL-Pakete zu installieren und betroffene Dienste neu zu starten. Derzeit führt dies nicht dazu, dass Zertifikats- oder private Schlüsselinformationen verloren gehen.

Weitere Informationen finden Sie hier

Mitch
quelle
1
Dies beantwortet nicht richtig, wie man in Ubuntu aktualisiert, um das Update zu erhalten. Das heißt, Sie installieren einfach die Updates vom Sicherheitsupdates-Kanal. Außerdem betrifft der Fehler sowohl Clients als auch Server und kann nur von einem Pfad zwischen beiden Endpunkten ausgenutzt werden, wenn beide Endpunkte anfällig sind.
Dobey