In questa pagina
- Scopri se il tuo server è interessato
- Risolvi la vulnerabilità
- Verifica se l'aggiornamento Linux ha installato il pacchetto corretto
Versione 1.2
Autore:Till Brehm
Segui Howtoforge su Twitter
È stata rilevata una grave vulnerabilità in OpenSSL, la vulnerabilità è denominata Heartbleed e interessa l'implementazione dell'heartbeat in OpenSSL versione 1.0.1 fino alla versione 1.0.1f. Questa velnerabilità può essere utilizzata per ottenere la chiave privata di una connessione SSL, quindi è importante aggiornare immediatamente il server. Il bug è stato corretto in OpenSSL 1.0.1g. Tutte le principali distribuzioni Linux hanno aggiornamenti di rilascio per la vulnerabilità.
Scopri se il tuo server è interessato
Esegui il comando:
versione openssl
per ottenere il numero di versione di openssl. Se il comando mostra ad es.:
versione openssl
OpenSSL 1.0.1e 11 febbraio 2013
quindi il tuo server potrebbe essere vulnerabile poiché la versione è inferiore a 1.0.1g. Ma alcuni pacchetti di patch di distribuzioni Linux, vedi sotto per le istruzioni per scoprire se il pacchetto sul tuo server è stato corretto.
Se il tuo server utilizza una versione 0.9.8 come viene utilizzata su Debian squeeze, il server non è vulnerabile poiché la funzione heartbeat è stata implementata solo in OpenSSL 1.0.1 e versioni successive.
versione openssl
OpenSSL 0.9.8o 01 giugno 2010
Risolvi la vulnerabilità
Per correggere la vulnerabilità, installa gli ultimi aggiornamenti per il tuo server.
Debian
apt-get update
apt-get upgrade
Ubuntu
apt-get update
apt-get upgrade
Fedora e CentOS
yum aggiornamento
OpenSuSE
aggiornamento zypper
Quindi riavvia tutti i servizi che utilizzano OpenSSL. Su un server ISPConfig 3, riavviare ad es. questi servizi (quando sono installati):sshd, apache, nginx, postfix, dovecot, corriere, pure-ftpd, bind e mysql. Se vuoi essere assolutamente sicuro di non aver perso un servizio, riavvia l'intero server eseguendo "reboot" sulla shell.
Verifica se l'aggiornamento di Linux ha installato il pacchetto corretto
Dopo aver installato gli aggiornamenti di Linux, controlla se il pacchetto openssl è stato aggiornato correttamente. Alcune distribuzioni Linux
patch packages, quindi "openssl version" non mostra sempre se è stata installata la patch corretta che risolve la vulnerabilità.
Controlla il pacchetto su Debian e Ubuntu:
dpkg-query -l 'openssl'
Qui l'output per un server Debian 7 (Wheezy) correttamente patchato:
dpkg-query -l 'openssl'
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(nessuno)/Reinst-required (Stato, Err:maiuscolo=cattivo)
||/ Nome Versione Architettura Descrizione
+++-====================-=================-==============-=======================================================================================================================
ii openssl 1.0.1e-2+deb7u5 amd64 Binario Secure Socket Layer (SSL) e relativo
Per Fedora e CentOS, usa questo comando per trovare il nome del pacchetto installato:
rpm -qa | grep si apre
Ecco i link alle note di rilascio che contengono i nomi dei pacchetti delle versioni fisse:
Debian:http://www.debian.org/security/2014/dsa-2896
Ubuntu:http://www.ubuntu.com/usn/usn-2165-1/
Fedora:https ://lists.fedoraproject.org/pipermail/announce/2014-April/003206.html
CentOS:http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
Test
È ora disponibile un test per verificare se hai chiuso correttamente la falla di sicurezza nel tuo server. Il test lo trovi qui:
http://filippo.io/Heartbleed/
Domande e risposte su questo argomento nel forum howtoforge
Domande e risposte su questo argomento nel forum howtoforge:
https://www.howtoforge.com/forums/showthread.php?t=65498