จะติดตั้ง OpenSSL เวอร์ชันที่มีช่องโหว่บนเซิร์ฟเวอร์ Linux ได้อย่างไร


9

ฉันต้องการรวบรวมและติดตั้งรุ่น OpenSSL ที่มีช่องโหว่ Heartbleed บนเซิร์ฟเวอร์ฉันกำลังตั้งค่าสำหรับการท้าทายความปลอดภัยบนเว็บของทีม

ฉันดาวน์โหลดและรวบรวมจากแหล่ง OpenSSL 1.0.1f โดยใช้คำแนะนำที่ให้ไว้ (เรียกใช้./configแล้วmakeและmake install) และพยายามเรียกใช้ Heartbleed POC จาก GitHubจากเครื่อง PC ของฉันอย่างไรก็ตามสคริปต์ดังกล่าวไม่ได้รับการตอบสนองการเต้นของหัวใจและ เซิร์ฟเวอร์มีแนวโน้มที่จะไม่เสี่ยง

เล่นopenssl versionผลิตการส่งออกต่อไปนี้: OpenSSL 1.0.1f 6 มกราคม 2014 ฉันติดตั้งใบรับรอง SSL แน่นอนและการเข้าถึง SSL ทำงานบนเซิร์ฟเวอร์

มีการติดตั้ง OpenSSL เพื่อทำงานกับ Apache 2.4.7

ใครช่วยได้บ้าง


3
โดยทั่วไปวิธีที่ดีในการทดสอบเวอร์ชันที่เก่ากว่าและการแจกแจง Linux คือการดาวน์โหลดอิมเมจ ISO ที่เก่ากว่าของการแจกจ่ายและอาจติดตั้ง VM โดยใช้มัน มีบางแพ็คเกจเท่านั้นที่มีอยู่ในนี้ แต่ OpenSSL น่าจะเป็นเช่นนั้น
Bruno

หากคุณค่อนข้างคุ้นเคยกับบรรจุภัณฑ์ Debian มันควรจะค่อนข้างง่ายในการดาวน์โหลดแพ็คเกจ openssl ปัจจุบันของคุณลบ CVE-2014-0160.patch และสร้างใหม่
Matt Nordhoff

คำตอบ:


7

มีสองสิ่งที่อาจเกิดขึ้นที่นี่:

  1. ง่าย "./configure; ยี่ห้อ; ให้ติดตั้ง" /usr/local/libจะได้โดยเริ่มต้นที่ห้องสมุดร่วมกันใน อย่างไรก็ตามไลบรารีที่ติดตั้งระบบจะอยู่ใน/usr/libซึ่งมาก่อนหน้านี้ในเส้นทางการค้นหาไลบรารี หากคุณไม่ลบ OpenSSL เวอร์ชันที่ติดตั้งระบบจะไม่พบรุ่นที่มีช่องโหว่

  2. แม้ว่าคุณจะเขียนไลบรารีระบบมากเกินไปการเปลี่ยนแปลงจะไม่ถูกหยิบขึ้นมาจนกว่าคุณจะรีสตาร์ท Apache ไฟล์ที่ถูกลบจะยังคงสามารถเข้าถึงได้ (และใช้พื้นที่บนดิสก์) จนกว่าโปรแกรมทั้งหมดที่มีการเปิด filehandles ให้ปิดไฟล์เหล่านั้น


7

ซอฟต์แวร์เซิร์ฟเวอร์ใดกำลังใช้งานอยู่

แม้ว่าไบนารีของ OpenSSL จะมีช่องโหว่ แต่เว็บเซิร์ฟเวอร์ที่ติดตั้งจากแพ็คเกจระบบปฏิบัติการมีแนวโน้มที่จะใช้เวอร์ชันไลบรารี่ที่ไม่เสี่ยง

วิธีที่ง่ายที่สุดในการรับฟังที่มีช่องโหว่นั้นคือopenssl s_server- หากคุณต้องการเว็บเซิร์ฟเวอร์แบบเต็มรูปแบบที่มีช่องโหว่คุณอาจต้องคอมไพล์กับ OpenSSL ที่มีช่องโหว่


1
โอ้โหฉันไม่เคยรู้เลยว่าs_serverเป็นเรื่องอะไร ฉันใช้งานs_clientตลอดไปและมันก็สมเหตุสมผลว่าควรมีตัวเลือกเซิร์ฟเวอร์ด้วย
EEAA

1
@EEAA ใช่มันบ้าไปแล้วว่ามีคำสั่งย่อยมากมายมากมายในนั้น
เชนแมดเดน
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.