Мій сервер все ще вразливий до бездротового зв'язку навіть після оновлення OpenSSL

28

У мене є сервер Ubuntu 12.04. Я оновив OpenSSLпакет, щоб виправити незахищену вразливість. Але я все ще вразливий, навіть якщо я перезапустив веб-сервер і навіть весь сервер.

Щоб перевірити свою вразливість, я використав:

dpkg дає:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

— user3301260
джерело

Вихід openssl version -a?

— Натан C

Я також працюю на сервері 12.04 (з nginx). Моє налаштування для автоматичного встановлення оновлень безпеки, і коли я запускаю скрипт python, він каже, що він не є вразливим. Ви встановили nginx з сховища пакетів або вручну?

— mikeazo

1

Що ти працюєш на цьому порту? Якщо це стороннє додаток, у вас може бути статична бібліотека

— Nathan C

29

Переконайтесь, що libssl1.0.0пакет також був оновлений (цей пакет містить фактичну бібліотеку, opensslпакет містить інструменти) і що всі служби, що використовують бібліотеку, були відновлені після оновлення.

Вам потрібно РЕСТАРТУВАТИ всі сервіси, використовуючи openssl (перезапуск служби apache).

— Хокан Ліндквіст
джерело

4

Щоб отримати список служб за допомогою старої, тепер заміненої версії libssl, спробуйте: "lsof -n | grep ssl | grep DEL". Або, якщо ви супер-параноїк, ви можете отримати список всього, використовуючи будь-яку версію libssl: "lsof -n | grep libssl | cut -c1-10 | sort |

— uniq

3

Це можливо ви помилковий позитивний випадок, згідно FAQ :

Я отримую помилкові позитиви (червоний)!

Будьте обережні, якщо ви не глюкаєте на веб-сайті, натискаючи кнопку, я не можу думати про червоний, а не про червоний.

Перевірте дамп пам'яті, якщо він є, то інструмент його звідкись взяв.

Скажімо, я на 99% впевнений, що вам слід виглядати краще, якщо ви перезапустили всі процеси після правильного оновлення.

Оновлення: все-таки я постійно отримую повідомлення про невпливові версії, що стають червоними. Будь ласка, будь ласка, прокоментуйте це питання, якщо вас зачепить. Я шукаю 3 речі: скидання пам’яті (щоб зрозуміти, звідки вони походили), часові позначки (як можна точніше, спробуйте на вкладці «Мережа»), повний опис того, що ви натиснули та ввели.

Ви можете протестувати свій веб-сайт за допомогою іншого інструменту, як-от SSLLabs , і побачити, чи все ще повідомляється про вас як про вразливе.
Ви також повинні повідомити про проблему за допомогою тесту http://filippo.io/Heartbleed, як описано вище.

— voretaq7
джерело

Піднявся як вразливий до Heartbleed за допомогою SSLLabs

— Matt

@Matt Тоді у вас можуть виникнути проблеми - перевірте дамп пам’яті (ви отримуєте його?) Та підключіться до приємних людей за інструментом filippo.io.

— voretaq7

2

Якщо у вас працює mod_spdy, переконайтеся, що ви оновили встановлення mod_spdy. Докладніше дивіться на https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU . Вам потрібно буде або оновити mod_spdy deb або повністю видалити попередню версію.

— валяння
джерело

2

Ви, ймовірно, маєте програму прослуховування на 443, яка має статично пов'язану бібліотеку openssl. Це означає, що у програми є свій пакунок opensl - оновіть і цю програму! Якщо такий недоступний, негайно повідомте про це продавця та призупиніть його, якщо це можливо!

— Натан С
джерело

2

Можливо, ви виявили помилку, перелічену на сторінці поширених запитань . Виявляється, що за певних обставин ви можете отримати вразливе повідомлення навіть у патч-системі.

Я отримую помилкові позитиви (червоний)!

Будьте обережні, якщо ви не глюкаєте на веб-сайті, натискаючи кнопку, я не можу думати про червоний, а не про червоний. Перевірте дамп пам'яті, якщо він є, то інструмент його звідкись взяв. Скажімо, я на 99% впевнений, що вам слід виглядати краще, якщо ви перезапустили всі процеси після правильного оновлення.

Оновлення: все-таки я постійно отримую повідомлення про невпливові версії, що стають червоними. Будь ласка, будь ласка, прокоментуйте це питання, якщо вас зачепить. Я шукаю 3 речі: скидання пам’яті (щоб зрозуміти, звідки вони прийшли), часові позначки (якомога точніше, спробуйте на вкладці «Мережа»), повний опис того, що ви натиснули та набрали.

Я б запропонував тестувати за допомогою альтернативного тесту, такого як Qualys, щоб підтвердити, що ваша система більше не вразлива. Якщо це не перейдіть до Github і повідомте про це.

Це все-таки зламано

Що? "Сервер", про який ви говорите, може мати статично пов'язану бібліотеку OpenSSl. Це означає, що, хоча ви оновили систему, ваша програма все ще знаходиться під загрозою! Вам потрібно негайно поговорити з постачальником програмного забезпечення, щоб отримати виправлення або вимкнути послугу, поки ви цього не зробите.

Чи дійсно мені потрібно відключити послугу, поки патч не вийшов?

Так, запуск уразливої служби вкрай небезпечно з точки зору можливої недбалості! Ви можете просочувати будь-які дані, які сервер розшифровує з транспорту і навіть не знаєте цього!

— Яків
джерело

1

Переконайтесь, що ваш nginx використовує системну бібліотеку: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/

— VBart
джерело

0

Це дуже можливо, якщо програма, що працює на 443, використовує статичну бібліотеку для OpenSSL. Якщо це так, вам доведеться оновити цю програму, щоб більше не бути вразливою.

— Натан С
джерело

0

Нарешті я зміг виправити свою проблему, схожу на ОП. Мій сервер - це стек LAMP від Bitnami. Дотримуючись цих інструкцій:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

— Метт
джерело