Se trovi le tue macchine di produzione che utilizzano OpenSSL versione 1.0.1, 1.0.0 e 0.9.8, ecco una grave vulnerabilità segnalata a marzo 2015:OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291) e riclassificato:RSA silenziosamente downgrade a EXPORT_RSA [Client] (CVE-2015-0204).
Ebbene, i due precedenti sono stati classificati come severità elevata tra le numerose vulnerabilità segnalate qui. L'elenco delle versioni OpenSSL interessate sono 1.0.1, 1.0.0 e 0.9.8. Secondo i rapporti del team di rilascio di OpenSSL, le vulnerabilità non sono gravi poiché il bug Heartbleed riscontrato nell'aprile 2014. Ma l'aggiornamento all'ultima versione preverrà gli attacchi Denial of Service.
Le vulnerabilità identificate possono essere risolte aggiornando la versione OpenSSL sui tuoi sistemi che eseguono CentOS, RHEL, Debian e Ubuntu.
Vediamo come aggiornare OpenSSL,
Prerequisito :privilegi ROOT
Come trovare la versione di OpenSSL installata?
$ openssl version OpenSSL 1.0.1e-fips 11 Feb 2013
(OPPURE)
$ yum list installed openssl openssl.x86_64 1.0.1e-16.el6_5.4 @updates
La "versione openssl Il comando ' dovrebbe funzionare anche su Debian e Ubuntu. In alternativa, puoi eseguire il comando seguente.
[debian/ubuntu ] $ sudo dpkg -l | egrep '^ii.*openssl'
Correggi/Patch OpenSSL aggiornando all'ultima versione
$sudo yum update openssl
Esempio di output:
Setting up Update Process Resolving Dependencies --> Running transaction check ---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated --> Processing Dependency: openssl = 1.0.1e-16.el6_5.4 for package: openssl-devel-1.0.1e-16.el6_5.4.x86_64 ---> Package openssl.x86_64 0:1.0.1e-30.el6.8 will be an update --> Running transaction check ---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated ---> Package openssl-devel.x86_64 0:1.0.1e-30.el6.8 will be an update --> Finished Dependency Resolution Dependencies Resolved ============================================================================================================================================================= Package Arch Version Repository Size ============================================================================================================================================================= Updating: openssl x86_64 1.0.1e-30.el6.8 updates 1.5 M Updating for dependencies: openssl-devel x86_64 1.0.1e-30.el6.8 updates 1.2 M Transaction Summary ============================================================================================================================================================= Upgrade 2 Package(s) Total download size: 2.7 M Downloading Packages: (1/2): openssl-1.0.1e-30.el6.8.x86_64.rpm | 1.5 MB 00:08 (2/2): openssl-devel-1.0.1e-30.el6.8.x86_64.rpm | 1.2 MB 00:08 ------------------------------------------------------------------------------------------------------------------------------------------------------------- Total 156 kB/s | 2.7 MB 00:17 Running rpm_check_debug Running Transaction Test Transaction Test Succeeded Running Transaction Updating : openssl-1.0.1e-30.el6.8.x86_64 1/4 Updating : openssl-devel-1.0.1e-30.el6.8.x86_64 2/4 Cleanup : openssl-devel-1.0.1e-16.el6_5.4.x86_64 3/4 Cleanup : openssl-1.0.1e-16.el6_5.4.x86_64 4/4 Verifying : openssl-1.0.1e-30.el6.8.x86_64 1/4 Verifying : openssl-devel-1.0.1e-30.el6.8.x86_64 2/4 Verifying : openssl-1.0.1e-16.el6_5.4.x86_64 3/4 Verifying : openssl-devel-1.0.1e-16.el6_5.4.x86_64 4/4 Updated: openssl.x86_64 0:1.0.1e-30.el6.8 Dependency Updated: openssl-devel.x86_64 0:1.0.1e-30.el6.8 Complete!
Su macchine Debian e Ubuntu :
[debian/ubuntu ] $ apt-get update [debian/ubuntu ] $ apt-get upgrade
Bene, hai aggiornato OpenSSL. Ora puoi riavviare il tuo server o riavviare i servizi che utilizzano OpenSSL.
Come trovare quali servizi utilizzano OpenSSL?
Il comando di seguito elencherà i servizi attualmente in esecuzione e che utilizzano la libreria OpenSSL.
$lsof | grep libssl | awk '{print $1}' | sort | uniq data-down httpd master mysqld php pickup postmaste
Riavvia tutti i servizi e il gioco è fatto, hai corretto le vulnerabilità in OpenSSL versione 1.0.2, 1.0.1, 1.0.0 e 0.9.8.
Nota: Anche se non aggiornerò questo post in futuro, dovresti assicurarti che il tuo sistema sia sempre aggiornato con le ultime patch.
Leggi anche:Elenco di utili comandi OpenSSL