CloudLinux offre supporto esteso fino al 2024 per proteggere i tuoi server CentOS 6 da una nuova vulnerabilità OpenSSL.
OpenSSL ha recentemente rilasciato una patch di sicurezza per un rilevamento di alto livello che interessa tutti i server che eseguono le versioni 1.0.2 e 1.1.1. Sfortunatamente, OpenSSL ha annunciato che non rilascerà patch per CentOS 6, solo CentOS 7 e CentOS 8. Ciò lascia qualsiasi server che esegue OpenSSL senza patch, incluso il sistema operativo CentOS 6, vulnerabile al denial-of-service (DoS) in cui software, servizi critici, o il sistema operativo potrebbe bloccarsi. CloudLinux, tuttavia, correggerà le versioni correnti di OpenSSL, la versione 1.0.1 non supportata e i server che eseguono il sistema operativo CentOS 6.
Dettagli vulnerabilità per CVE-2020-1971
OpenSSL ha una funzione chiamata GENERAL_NAME_cmp() che confronta due parametri ed esegue le seguenti due azioni:
- Confronta un certificato X.509 con elementi in un elenco di revoche di certificati (CRL).
- Confronta un timestamp del firmatario del token di risposta con il timestamp di un nome di autorità.
La funzione è importante nella comunicazione sicura per garantire che il certificato non sia stato revocato. Le organizzazioni di autorità di certificazione (CA) revocano i certificati per diversi motivi. Se le chiavi private di un server vengono rubate a causa di una compromissione, una CA revocherà i certificati per proteggere l'integrità della comunicazione. Altri motivi di revoca includono l'uso improprio del certificato e ne deve essere pubblicato uno nuovo, la CA è compromessa o la CA ha creato certificati senza l'autorizzazione del proprietario del dominio. In uno di questi casi, un utente malintenzionato potrebbe mascherarsi da dominio preso di mira e indurre gli utenti a fidarsi di un sito, il che potrebbe quindi portare a un sofisticato attacco di phishing e alla divulgazione di dati sensibili.
Se un utente malintenzionato può controllare entrambi i parametri passati a GENERAL_NAME_cmp() funzione, una condizione DoS sarà soddisfatta se entrambi i parametri sono dello stesso tipo. Un ricercatore di Google che ha individuato la vulnerabilità è stato in grado di eseguire una dimostrazione di proof-of-concept passando alla funzione due parametri del tipo EDIPartyName , definito nel codice OpenSSL.
La patch per la vulnerabilità, ID assegnato CVE-2020-1971 , è stato rilasciato l'8 dicembre 2020. Le modifiche al codice open source sono disponibili nel repository Github di OpenSSL. . Puoi leggere ulteriori informazioni sulla vulnerabilità nell'annuncio di OpenSSL pagina.
Cosa può succedere se OpenSSL viene lasciato senza patch?
Sebbene l'esecuzione di codice remoto (RCE) non sia un problema, i server senza patch potrebbero essere soggetti a DoS e potenzialmente a una condizione di DDoS (Distributed Denial of Service) in cui i servizi potrebbero essere portati offline e non disponibili per gli utenti. I server critici che devono rimanere disponibili per la produttività aziendale o devono essere online per soddisfare gli accordi sul livello di servizio potrebbero essere un bersaglio per gli aggressori. CVE ha impostato il livello di rischio su "Alto", il che significa che è considerata una grave vulnerabilità per le organizzazioni. Solo le vulnerabilità etichettate come "Critiche" sono più gravi e si verificano circa una volta ogni cinque anni.
Mitigazione con supporto esteso per CentOS 6 e/o KernelCare+
Il supporto esteso di CloudLinux per CentOS 6 ha questa patch di sicurezza disponibile per i suoi clienti. La fine del ciclo di vita (EOL) per CentOS 6 era novembre 2020, ma CloudLinux offre supporto esteso fino al 2024 per proteggere i server dalla vulnerabilità di openSSL fino a quando gli amministratori non possono eseguire l'aggiornamento a versioni più recenti del sistema operativo. Per iscriverti al supporto esteso, compila questo modulo .
KernelCare ha anche il supporto per le patch live per OpenSSL e molte altre librerie condivise .
Installazione del supporto esteso CloudLinux per CentOS 6
L'installazione di CloudLinux Extended Support richiede solo pochi comandi.
Scarica lo script di installazione:
wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.pyEsegui lo script di installazione (nota che ti serve la tua chiave di licenza):
python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX
Il comando precedente installerà centos-els-release pacchetto contenente la chiave PGP del repository. Puoi assicurarti che l'installazione sia completa eseguendo il comando seguente:
rpm -q centos-els-releaseL'output del comando precedente dovrebbe visualizzare:
centos-els-release-6-6.10.1.el6.x86_64Nota: I clienti esistenti che ancora eseguono CentOS al 1° dicembre 2020 sono stati automaticamente convertiti al supporto EOL.
Installazione di KernelCare+
KernelCare+ è facile come installare CloudLinux ES. Per installare KernelCare+, esegui uno dei seguenti comandi:
curl -s -L https://kernelcare.com/installer | bashOppure,
wget -qq -O - https://kernelcare.com/installer | bashPer ulteriori informazioni sull'installazione di KernelCare+, vedere la documentazione ufficiale .
Conclusione
I ricercatori indicano che questa vulnerabilità di OpenSSL è molto più difficile da sfruttare, ma ciò non significa che dovresti ritardare l'applicazione delle patch ai tuoi server. Sia che tu abbia intenzione di farlo manualmente, aggiornare alla versione più recente di OpenSSL o optare per l'applicazione di patch live di KernelCare+, fallo immediatamente! OpenSSL rimane ancora una delle tecnologie più mirate al software e gli attacchi DDoS sono più frequenti di quanto possa sembrare.
Lettura correlata:
- 5 strumenti di patching live del kernel che aiuteranno a eseguire server Linux senza riavvii