GNU/Linux >> Linux Esercitazione >  >> Ubuntu

Come scoprire se il tuo server è interessato dalla vulnerabilità Openssl Heartbleed (CVE-2014-0160) e come risolverlo

In questa pagina

  1. Scopri se il tuo server è interessato
  2. Risolvi la vulnerabilità
  3. Verifica se l'aggiornamento Linux ha installato il pacchetto corretto
  • Test
  • Domande e risposte su questo argomento nel forum howtoforge
  • Versione 1.2
    Autore:Till Brehm
    Segui Howtoforge su Twitter

    È stata rilevata una grave vulnerabilità in OpenSSL, la vulnerabilità è denominata Heartbleed e interessa l'implementazione dell'heartbeat in OpenSSL versione 1.0.1 fino alla versione 1.0.1f. Questa velnerabilità può essere utilizzata per ottenere la chiave privata di una connessione SSL, quindi è importante aggiornare immediatamente il server. Il bug è stato corretto in OpenSSL 1.0.1g. Tutte le principali distribuzioni Linux hanno aggiornamenti di rilascio per la vulnerabilità.

    Scopri se il tuo server è interessato

    Esegui il comando:

    versione openssl

    per ottenere il numero di versione di openssl. Se il comando mostra ad es.:

    versione openssl
    OpenSSL 1.0.1e 11 febbraio 2013

    quindi il tuo server potrebbe essere vulnerabile poiché la versione è inferiore a 1.0.1g. Ma alcuni pacchetti di patch di distribuzioni Linux, vedi sotto per le istruzioni per scoprire se il pacchetto sul tuo server è stato corretto.

    Se il tuo server utilizza una versione 0.9.8 come viene utilizzata su Debian squeeze, il server non è vulnerabile poiché la funzione heartbeat è stata implementata solo in OpenSSL 1.0.1 e versioni successive.

    versione openssl
    OpenSSL 0.9.8o 01 giugno 2010

    Risolvi la vulnerabilità

    Per correggere la vulnerabilità, installa gli ultimi aggiornamenti per il tuo server.

    Debian

    apt-get update
    apt-get upgrade

    Ubuntu

    apt-get update
    apt-get upgrade

    Fedora e CentOS

    yum aggiornamento

    OpenSuSE

    aggiornamento zypper

    Quindi riavvia tutti i servizi che utilizzano OpenSSL. Su un server ISPConfig 3, riavviare ad es. questi servizi (quando sono installati):sshd, apache, nginx, postfix, dovecot, corriere, pure-ftpd, bind e mysql. Se vuoi essere assolutamente sicuro di non aver perso un servizio, riavvia l'intero server eseguendo "reboot" sulla shell.

    Verifica se l'aggiornamento di Linux ha installato il pacchetto corretto

    Dopo aver installato gli aggiornamenti di Linux, controlla se il pacchetto openssl è stato aggiornato correttamente. Alcune distribuzioni Linux
    patch packages, quindi "openssl version" non mostra sempre se è stata installata la patch corretta che risolve la vulnerabilità.

    Controlla il pacchetto su Debian e Ubuntu:

    dpkg-query -l 'openssl'

    Qui l'output per un server Debian 7 (Wheezy) correttamente patchato:

    dpkg-query -l 'openssl'
    Desired=Unknown/Install/Remove/Purge/Hold
    | Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
    |/ Err?=(nessuno)/Reinst-required (Stato, Err:maiuscolo=cattivo)
    ||/ Nome                Versione         Architettura   Descrizione
    +++-====================-=================-==============-=======================================================================================================================
    ii  openssl             1.0.1e-2+deb7u5 amd64           Binario Secure Socket Layer (SSL) e relativo

    Per Fedora e CentOS, usa questo comando per trovare il nome del pacchetto installato:

    rpm -qa | grep si apre

    Ecco i link alle note di rilascio che contengono i nomi dei pacchetti delle versioni fisse:

    Debian:http://www.debian.org/security/2014/dsa-2896
    Ubuntu:http://www.ubuntu.com/usn/usn-2165-1/
    Fedora:https ://lists.fedoraproject.org/pipermail/announce/2014-April/003206.html
    CentOS:http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html

    Test

    È ora disponibile un test per verificare se hai chiuso correttamente la falla di sicurezza nel tuo server. Il test lo trovi qui:

    http://filippo.io/Heartbleed/

    Domande e risposte su questo argomento nel forum howtoforge

    Domande e risposte su questo argomento nel forum howtoforge:

    https://www.howtoforge.com/forums/showthread.php?t=65498


    Ubuntu
    1. Come scoprire quale server DNS è configurato sulla tua macchina? Linux/Finestre/OSX

    2. Come risolvere la vulnerabilità DROWN nel server Web Apache/NGINX e SMTP?

    3. Come abilitare i menu globali e correggere Hud (dopo l'aggiornamento a 12.04 da 10.04)?

    4. Come trovare l'indirizzo IP condiviso del tuo server nel cPanel

    5. Come rilevare e scoprire che un programma è in stallo?

    Come eseguire l'aggiornamento a Ubuntu 16.04 da Ubuntu 14.04 e 15.10

    Controlla e scopri quanto tempo ci vuole per avviare il tuo sistema Linux

    Come installare Guacamole per accedere ai tuoi computer da qualsiasi luogo in Ubuntu

    Come scoprire quale programma utilizza Internet e quanto?

    Come SSH nel tuo server Linux da Windows

    Come trovare il nome del tuo server nel cPanel