O que devo fazer sobre o bug do Heartbleed nos sites que corro?

9

O bug Heartbleed anunciado recentemente no OpenSSL afeta muitos sites (70% da internet).

Existe um site:

http://www.heartbleed.com

Há um teste baseado na Web:

http://filippo.io/Heartbleed/

O que devo fazer para proteger os sites que corro?

openssl heartbleed Matt Cruikshank
fonte
6
Melhor resposta no Server Fault - Heartbleed: O que é e quais são as opções para atenuá-lo?
Sathyajith Bhat
5
... bem como o StackExchange para profissionais de segurança. Consulte security.stackexchange.com/questions/55076 e security.stackexchange.com/questions/tagged/heartbleed .
JdeBP
4
Cada SE computador local relacionado principal agora tem esta pergunta ... Provavelmente em breve ele será solicitado até mesmo em cooking.stackexchange.com : D
VL-80
Adicionei uma versão desta pergunta ao usuário final em superuser.com/questions/739260/… (mas alguém já fez o voto negativo, sem explicação).
Danorton
11
@Nikolay, agora eu estou tão tentado a perguntar-lo em cooking.se ...
Joe

Respostas:

7

Você deve:

  • Atualize seu sistema para a versão mais recente do OpenSSL
  • Gere novas chaves e certificados para serviços baseados no OpenSSL e reinicie-os
  • Revogar certificados anteriores
  • Invalidar todas as sessões estabelecidas
Executivos
fonte
Suponho que você não saiba algumas instruções claras e claras para os três últimos passos, não é?
Paul D. Waite
A revogação e a regeneração de certificados de produção geralmente envolvem qualquer processo que sua CA tenha implementado. Desde que varia de um CA para a próxima ...
Roger Lipscombe
Como atualizar seu sistema depende do seu gerenciador de pacotes. A invalidação de sessões depende da aplicação. Quanto aos certificados, você vai ter de contactar o CA, mas o primeiro passo deve ser o de gerar uma nova chave e CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
Executifs
4

Roubado de um comentário no reddit.

  1. Atualize seu sistema:

    sudo apt-get update
sudo apt-get upgrade

  2. Reinicialize o servidor

  3. openssl version -a para garantir que você tenha a versão mais recente !!

Matt Cruikshank
fonte
O OP entrega!
Eu sou John Galt
11
@IamJohnGalt Não é como se fosse um cofre trancado ou algo assim. ;)
Ƭᴇcʜιᴇ007
14
Isto não é suficiente. As chaves SSL precisam ser substituídas, sem isso um patch ainda o deixará vulnerável ao roubo de chaves no passado.
Kyeotic
Isso pressupõe que seu sistema use apt-getcomo seu gerenciador de pacotes. A questão não sugere que este seja necessariamente o caso.
Michael
0

Mais especificamente para Ubuntu ou Debian em geral

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Ref http://www.ubuntu.com/usn/usn-2165-1/

rleir
fonte