Meu servidor ainda está vulnerável ao heartbleed mesmo depois de atualizar o OpenSSL

28

Eu tenho um servidor Ubuntu 12.04. Eu atualizei o OpenSSLpacote para corrigir a vulnerabilidade heartbleed. Mas ainda estou vulnerável, apesar de ter reiniciado o servidor web e até mesmo o servidor inteiro.

Para verificar minha vulnerabilidade, usei:

O dpkg fornece:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

ubuntu nginx security openssl heartbleed user3301260
fonte
Saída de openssl version -a?
Nathan C
Também estou executando o servidor 12.04 (com nginx). O meu está configurado para instalar atualizações de segurança automaticamente e, quando executo o script python, ele diz que não é vulnerável. Você instalou o nginx a partir do repositório de pacotes ou manualmente?
Mikeazo 08/04
1
O que você está executando nesta porta? Se é um aplicativo 3 festa, você pode ter uma biblioteca estática
Nathan C

Respostas:

29

Verifique se o libssl1.0.0pacote também foi atualizado (esse pacote contém a biblioteca real, o opensslpacote contém as ferramentas) e se todos os serviços que usam a biblioteca foram reiniciados após a atualização.

Você precisa reiniciar todos os serviços usando o openssl (reinicialização do apache de serviço).

Håkan Lindqvist
fonte
4
Para obter uma lista dos serviços usando sua versão mais antiga e substituída do libssl, tente: "lsof -n | grep ssl | grep DEL". Ou, se você é super paranóico, pode obter uma lista de tudo usando qualquer versão do libssl: "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

É possível que você seja um caso de falso positivo, de acordo com a FAQ :

Estou recebendo falsos positivos (vermelho)!

Tenha cuidado, a menos que você tenha danificado o site pressionando o botão, não há como eu pensar que um vermelho não é um vermelho.

Verifique o despejo de memória, se estiver lá, a ferramenta o obteve de algum lugar.

Digamos que tenho 99% de certeza de que você deve ter uma aparência melhor se reiniciar todos os processos após a atualização correta.

Atualização: ainda assim, estou recebendo relatórios consistentes de versões não afetadas ficando vermelhas. Por favor, venha comentar o problema se você for afetado. Estou procurando por três coisas: despejos de memória (para descobrir de onde eles vieram), registros de data e hora (o mais preciso possível, tente com a guia Rede), uma descrição completa do que você clicou e digitou.

Você pode testar seu site usando outra ferramenta como o SSLLabs e verificar se ainda é relatado como vulnerável.
Você também deve relatar o problema com o http://filippo.io/Heartbleed tester, conforme descrito acima.

voretaq7
fonte
Surgiu como vulneráveis a heartbleed usando SSLLabs
Matt
@ Matt Você pode ter um problema: verifique o despejo de memória (você está recebendo um?) E conecte-se com as pessoas legais por trás da ferramenta filippo.io.
precisa saber é o seguinte
2

Você provavelmente tem um programa escutando 443 que possui uma biblioteca openssl estática. Isso significa que o programa possui seu próprio openssl incluído - atualize também este programa! Se não estiver disponível, notifique o fornecedor imediatamente e suspenda esse aplicativo, se possível!

Nathan C
fonte
2

É possível que você esteja enfrentando o erro listado na página de Perguntas frequentes . Parece que, em determinadas circunstâncias, você pode receber uma notificação vulnerável, mesmo em um sistema corrigido.

Estou recebendo falsos positivos (vermelho)!

Tenha cuidado, a menos que você tenha danificado o site pressionando o botão, não há como eu pensar que um vermelho não é um vermelho. Verifique o despejo de memória, se estiver lá, a ferramenta o obteve de algum lugar. Digamos que tenho 99% de certeza de que você deve ter uma aparência melhor se reiniciar todos os processos após a atualização correta.

Atualização: ainda assim, estou recebendo relatórios consistentes de versões não afetadas ficando vermelhas. Por favor, venha comentar o problema se você for afetado. Estou procurando por três coisas: despejos de memória (para descobrir de onde eles vieram), registros de data e hora (o mais preciso possível, tente com a guia Rede), uma descrição completa do que você clicou e digitou.

Sugiro testar com um teste alternativo, como o Qualys, para confirmar que seu sistema não está mais vulnerável. Se não for para o Github e denuncie.

Ainda está quebrado

O que é? O "servidor" de que você fala pode ter uma biblioteca OpenSSl estática vinculada. Isso significa que, embora você tenha atualizado seu sistema, seu aplicativo ainda está em risco! Você precisa conversar com o fornecedor do software imediatamente para obter um patch ou desativar o serviço até que o faça.

Eu realmente tenho que desativar o serviço até que o patch seja lançado?

Sim, a execução de um serviço vulnerável é extremamente perigosa ao ponto de possível negligência! Você pode estar vazando todos os dados que o servidor descriptografa do transporte e nem mesmo sabe disso!

Jacob
fonte
0

Isso é muito possível se o aplicativo em execução no 443 usar uma biblioteca estática para o OpenSSL. Se for esse o caso, você precisará atualizar o aplicativo para não ficar mais vulnerável.

Nathan C
fonte
0

Finalmente, consegui corrigir meu problema semelhante ao OP. Meu servidor é uma pilha LAMP da Bitnami. Seguindo estas instruções:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

Matt
fonte