เซิร์ฟเวอร์ของฉันยังคงมีความเสี่ยงต่อการถูกรบกวนแม้หลังจากอัปเดต OpenSSL แล้ว

28

ฉันมีเซิร์ฟเวอร์ Ubuntu 12.04 ฉันได้อัปเดตOpenSSLแพคเกจเพื่อแก้ไขช่องโหว่ที่รุนแรง แต่ฉันยังคงมีช่องโหว่แม้ว่าฉันจะรีสตาร์ทเว็บเซิร์ฟเวอร์และแม้กระทั่งเซิร์ฟเวอร์ทั้งหมด

เพื่อตรวจสอบช่องโหว่ของฉันฉันใช้:

dpkg ให้:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

ubuntu  nginx  security  openssl  heartbleed 
user3301260
แหล่งที่มา
ผลลัพธ์ของopenssl version -a?
นาธานซี
ฉันใช้เซิร์ฟเวอร์ 12.04 (กับ nginx) ด้วย Mine ตั้งค่าให้ติดตั้งการอัปเดตความปลอดภัยโดยอัตโนมัติและเมื่อฉันเรียกใช้สคริปต์ python มันก็บอกว่าไม่เสี่ยง คุณติดตั้ง nginx จากจากที่เก็บแพคเกจหรือด้วยตนเอง?
mikeazo
1
คุณกำลังทำงานอะไรบนพอร์ตนี้ หากเป็นแอปของบุคคลที่สามคุณอาจมีห้องสมุดแบบคงที่
Nathan C

คำตอบ:

29

ตรวจสอบให้แน่ใจว่าlibssl1.0.0แพ็กเกจนั้นได้รับการอัพเดตเช่นกัน (แพคเกจนั้นมีไลบรารี่จริงopensslบรรจุภัณฑ์ด้วยเครื่องมือ) และบริการทั้งหมดที่ใช้ไลบรารี่นั้นได้รับการรีสตาร์ทหลังจากการอัพเกรด

คุณต้องรีสตาร์ทบริการทั้งหมดโดยใช้ openssl (รีสตาร์ท apache ของบริการ)

Håkan Lindqvist
แหล่งที่มา
4
ในการรับรายการบริการโดยใช้ libssl เวอร์ชันเก่าแทนที่ตอนนี้ให้ลอง: "lsof -n | grep ssl | grep DEL" หรือหากคุณเป็นซุปเปอร์หวาดระแวงคุณสามารถรับรายการทุกอย่างโดยใช้ libssl ทุกรุ่น: "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

เป็นไปได้ว่าคุณเป็นกรณีที่เป็นเท็จบวกตามคำถามที่พบบ่อย :

ฉันได้รับผลบวกผิด ๆ (สีแดง)!

ระวังตัวเว้นเสียแต่ว่าคุณ glitched ไซต์กดปุ่มไม่มีวิธีที่ฉันคิดว่าสีแดงไม่ใช่สีแดง

ตรวจสอบการถ่ายโอนข้อมูลหน่วยความจำถ้ามันมีอยู่แล้วเครื่องมือที่ได้มาจากที่ใดก็ได้

สมมติว่าฉันมั่นใจ 99% ว่าคุณควรดูดีกว่านี้ถ้าคุณเริ่มกระบวนการทั้งหมดใหม่หลังจากอัปเดตอย่างถูกต้อง

อัปเดต: ยังฉันได้รับรายงานอย่างต่อเนื่องว่าเวอร์ชันที่ไม่ได้รับผลกระทบจะเป็นสีแดง โปรดแสดงความคิดเห็นต่อปัญหาหากคุณได้รับผลกระทบ ฉันกำลังมองหา 3 สิ่ง: การถ่ายโอนข้อมูลหน่วยความจำ (เพื่อค้นหาว่ามาจากไหน) การประทับเวลา (แม่นยำที่สุดเท่าที่เป็นไปได้ลองใช้แท็บเครือข่าย) คำอธิบายที่สมบูรณ์เกี่ยวกับสิ่งที่คุณคลิกและพิมพ์

คุณสามารถทดสอบไซต์ของคุณโดยใช้เครื่องมืออื่นเช่นSSLLabsและดูว่าคุณยังได้รับรายงานว่ามีความเสี่ยงหรือไม่
คุณควรรายงานปัญหาด้วยhttp://filippo.io/Heartbleed tester ตามที่อธิบายไว้ข้างต้น

voretaq7
แหล่งที่มา
ปรากฏว่ามีความเสี่ยงต่อ Heartbleed โดยใช้ SSLLabs
แมตต์
@ แมทในความเป็นจริงคุณอาจมีปัญหาแล้ว - ตรวจสอบการถ่ายโอนข้อมูลหน่วยความจำ (คุณได้รับหรือไม่) และเชื่อมต่อกับคนที่ดีที่อยู่เบื้องหลังเครื่องมือ filippo.io
voretaq7
2

หากคุณกำลังเรียกใช้ mod_spdy ตรวจสอบให้แน่ใจว่าคุณอัปเดตการติดตั้ง mod_spdy ของคุณ ดูhttps://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTUสำหรับรายละเอียด คุณจะต้องอัพเกรด mod_spdy deb หรือลบรุ่นก่อนหน้าโดยสมบูรณ์

lewing
แหล่งที่มา
2

คุณน่าจะมีโปรแกรมที่ฟังใน 443 ที่มีไลบรารี openssl ที่ลิงก์แบบสแตติก ซึ่งหมายความว่าโปรแกรมมีแพ็คเกจ openssl ของตัวเอง - อัปเดตโปรแกรมนี้ด้วย! หากไม่มีให้แจ้งผู้ขายทันทีและระงับแอปพลิเคชันนี้หากเป็นไปได้!

นาธานซี
แหล่งที่มา
2

เป็นไปได้ว่าคุณกำลังพบข้อผิดพลาดที่ระบุไว้ในหน้าคำถามที่พบบ่อย ปรากฏว่าภายใต้สถานการณ์บางอย่างที่คุณสามารถได้รับการแจ้งเตือนที่มีช่องโหว่แม้ในระบบที่มีการปะแก้

ฉันได้รับผลบวกผิด ๆ (สีแดง)!

ระวังตัวเว้นเสียแต่ว่าคุณ glitched ไซต์กดปุ่มไม่มีวิธีที่ฉันคิดว่าสีแดงไม่ใช่สีแดง ตรวจสอบการถ่ายโอนข้อมูลหน่วยความจำถ้ามันมีอยู่แล้วเครื่องมือที่ได้มาจากที่ใดก็ได้ สมมติว่าฉันมั่นใจ 99% ว่าคุณควรดูดีกว่านี้ถ้าคุณเริ่มกระบวนการทั้งหมดใหม่หลังจากอัปเดตอย่างถูกต้อง

อัปเดต: ยังฉันได้รับรายงานอย่างต่อเนื่องว่าเวอร์ชันที่ไม่ได้รับผลกระทบจะเป็นสีแดง โปรดแสดงความคิดเห็นต่อปัญหาหากคุณได้รับผลกระทบ ฉันกำลังมองหา 3 สิ่ง: การถ่ายโอนข้อมูลหน่วยความจำ (เพื่อค้นหาว่ามาจากไหน) การประทับเวลา (แม่นยำที่สุดเท่าที่เป็นไปได้ลองใช้แท็บเครือข่าย) คำอธิบายที่สมบูรณ์เกี่ยวกับสิ่งที่คุณคลิกและพิมพ์

ฉันขอแนะนำให้ทดสอบด้วยการทดสอบทางเลือกเช่นQualysเพื่อยืนยันว่าระบบของคุณไม่มีความเสี่ยงอีกต่อไป หากไม่ตรงไปที่Githubและรายงาน

มันยังพังอยู่

คืออะไร? "เซิร์ฟเวอร์" ที่คุณพูดถึงอาจมีห้องสมุด OpenSSl ที่เชื่อมโยงแบบคงที่ ซึ่งหมายความว่าแม้ว่าคุณจะอัปเดตระบบของคุณแอปพลิเคชันของคุณยังอยู่ในความเสี่ยง! คุณต้องคุยกับผู้จำหน่ายซอฟต์แวร์ทันทีเพื่อรับ patch หรือปิดบริการจนกว่าคุณจะทำ

ฉันต้องปิดการใช้งานบริการจริงๆจนกว่าจะแก้ไขหรือไม่

ใช่การใช้บริการที่มีช่องโหว่นั้นอันตรายอย่างยิ่งยวดต่อความประมาทเลินเล่อที่อาจเกิดขึ้น! คุณอาจรั่วข้อมูลใด ๆ ที่เซิร์ฟเวอร์ถอดรหัสจากการขนส่งและไม่รู้ด้วยซ้ำ!

จาค็อบ
แหล่งที่มา
0

สิ่งนี้เป็นไปได้มากหากแอปพลิเคชันที่ทำงานบน 443 ใช้ไลบรารีคงที่สำหรับ OpenSSL หากเป็นกรณีนี้คุณต้องอัปเดตแอปพลิเคชันนั้นเพื่อไม่ให้มีช่องโหว่อีกต่อไป

นาธานซี
แหล่งที่มา
0

ในที่สุดฉันก็สามารถแก้ไขปัญหาที่คล้ายกับ OP ได้ เซิร์ฟเวอร์ของฉันเป็น LAMP stack จาก Bitnami ทำตามคำแนะนำเหล่านี้:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

ด้าน
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.