Risolvi le vulnerabilità di OpenSSL su CentOS, Debian, Ubuntu e RHEL! [1.0.1e-fips]

Se trovi le tue macchine di produzione che utilizzano OpenSSL versione 1.0.1, 1.0.0 e 0.9.8, ecco una grave vulnerabilità segnalata a marzo 2015:OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291) e riclassificato:RSA silenziosamente downgrade a EXPORT_RSA [Client] (CVE-2015-0204).

Ebbene, i due precedenti sono stati classificati come severità elevata tra le numerose vulnerabilità segnalate qui. L'elenco delle versioni OpenSSL interessate sono 1.0.1, 1.0.0 e 0.9.8. Secondo i rapporti del team di rilascio di OpenSSL, le vulnerabilità non sono gravi poiché il bug Heartbleed riscontrato nell'aprile 2014. Ma l'aggiornamento all'ultima versione preverrà gli attacchi Denial of Service.

Le vulnerabilità identificate possono essere risolte aggiornando la versione OpenSSL sui tuoi sistemi che eseguono CentOS, RHEL, Debian e Ubuntu.

Vediamo come aggiornare OpenSSL,

Prerequisito :privilegi ROOT

Come trovare la versione di OpenSSL installata?

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

(OPPURE)

$ yum list installed openssl
openssl.x86_64                    1.0.1e-16.el6_5.4                     @updates

La "versione openssl Il comando ' dovrebbe funzionare anche su Debian e Ubuntu. In alternativa, puoi eseguire il comando seguente.

[debian/ubuntu ] $ sudo dpkg -l | egrep  '^ii.*openssl'

Correggi/Patch OpenSSL aggiornando all'ultima versione

$sudo yum update openssl

Esempio di output:

Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated
--> Processing Dependency: openssl = 1.0.1e-16.el6_5.4 for package: openssl-devel-1.0.1e-16.el6_5.4.x86_64
---> Package openssl.x86_64 0:1.0.1e-30.el6.8 will be an update
--> Running transaction check
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl-devel.x86_64 0:1.0.1e-30.el6.8 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

=============================================================================================================================================================
 Package                                 Arch                             Version                                    Repository                         Size
=============================================================================================================================================================
Updating:
 openssl                                 x86_64                           1.0.1e-30.el6.8                            updates                           1.5 M
Updating for dependencies:
 openssl-devel                           x86_64                           1.0.1e-30.el6.8                            updates                           1.2 M

Transaction Summary
=============================================================================================================================================================
Upgrade       2 Package(s)

Total download size: 2.7 M
Downloading Packages:
(1/2): openssl-1.0.1e-30.el6.8.x86_64.rpm                                                                                             | 1.5 MB     00:08
(2/2): openssl-devel-1.0.1e-30.el6.8.x86_64.rpm                                                                                       | 1.2 MB     00:08
-------------------------------------------------------------------------------------------------------------------------------------------------------------
Total                                                                                                                        156 kB/s | 2.7 MB     00:17
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Updating   : openssl-1.0.1e-30.el6.8.x86_64                                                                                                            1/4
  Updating   : openssl-devel-1.0.1e-30.el6.8.x86_64                                                                                                      2/4
  Cleanup    : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                    3/4
  Cleanup    : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                          4/4
  Verifying  : openssl-1.0.1e-30.el6.8.x86_64                                                                                                            1/4
  Verifying  : openssl-devel-1.0.1e-30.el6.8.x86_64                                                                                                      2/4
  Verifying  : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                          3/4
  Verifying  : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                    4/4
Updated:
  openssl.x86_64 0:1.0.1e-30.el6.8
Dependency Updated:
  openssl-devel.x86_64 0:1.0.1e-30.el6.8
Complete!

Su macchine Debian e Ubuntu :

[debian/ubuntu ] $ apt-get update
[debian/ubuntu ] $ apt-get upgrade

Bene, hai aggiornato OpenSSL. Ora puoi riavviare il tuo server o riavviare i servizi che utilizzano OpenSSL.

Come trovare quali servizi utilizzano OpenSSL?

Il comando  di seguito elencherà i servizi attualmente in esecuzione e che utilizzano la libreria OpenSSL.

$lsof | grep libssl | awk '{print $1}' | sort | uniq
data-down
httpd
master
mysqld
php
pickup
postmaste

Riavvia tutti i servizi e il gioco è fatto, hai corretto le vulnerabilità in OpenSSL versione 1.0.2, 1.0.1, 1.0.0 e 0.9.8.

Nota: Anche se non aggiornerò questo post in futuro, dovresti assicurarti che il tuo sistema sia sempre aggiornato con le ultime patch.

Leggi anche:Elenco di utili comandi OpenSSL