จะแก้ไข Heartbleed bug (CVE-2014-0160) ใน OpenSSL ได้อย่างไร?

ณ วันนี้มีข้อผิดพลาดใน OpenSSLได้รับพบว่ามีผลกระทบต่อรุ่น1.0.1ผ่าน1.0.1f(รวม) 1.0.2-betaและ

ตั้งแต่ Ubuntu 12.04 เราทุกคนมีความเสี่ยงต่อข้อผิดพลาดนี้ เพื่อที่จะแก้ไขช่องโหว่นี้ผู้ใช้จะได้รับผลกระทบควรปรับปรุงเพื่อ 1.0.1gOpenSSL

ผู้ใช้ที่ได้รับผลกระทบทุกคนจะสามารถใช้การอัปเดตนี้ได้อย่างไร?

การปรับปรุงการรักษาความปลอดภัยที่มีอยู่สำหรับ 12.04, 12.10, 13.10 และ 14.04เห็นUbuntu การรักษาความปลอดภัย Notice USN-2165-1

ดังนั้นก่อนอื่นคุณต้องใช้การอัปเดตความปลอดภัยที่มีอยู่ตัวอย่างเช่นเมื่อรัน

sudo apt-get update
sudo apt-get upgrade

จากบรรทัดคำสั่ง

อย่าลืมรีสตาร์ทบริการ (HTTP, SMTP, ฯลฯ ) ที่ใช้เวอร์ชัน OpenSSL ที่ได้รับผลกระทบมิฉะนั้นคุณจะยังมีช่องโหว่ ดูHeartbleed เพิ่มเติม: มันคืออะไรและมีตัวเลือกอะไรบ้างในการลดความมัน? บน Serverfault.com

คำสั่งต่อไปนี้แสดง (หลังจากอัปเกรด) บริการทั้งหมดที่ต้องเริ่มต้นใหม่:

sudo find /proc -maxdepth 2 -name maps -exec grep -HE '/libssl\.so.* \(deleted\)' {} \; | cut -d/ -f3 | sort -u | xargs --no-run-if-empty ps uwwp

หลังจากนั้นคุณจะต้องสร้างคีย์ SSL เซิร์ฟเวอร์ทั้งหมดใหม่จากนั้นประเมินว่าคีย์ของคุณอาจรั่วหรือไม่ซึ่งในกรณีนี้ผู้โจมตีอาจดึงข้อมูลที่เป็นความลับจากเซิร์ฟเวอร์ของคุณ

ข้อผิดพลาดเป็นที่รู้จักกันHeartbleed

ฉันกำลังเสี่ยงไหม

โดยทั่วไปแล้วคุณจะได้รับผลกระทบหากคุณใช้เซิร์ฟเวอร์บางตัวที่คุณสร้างคีย์ SSL ไว้ในบางจุด ผู้ใช้ปลายทางส่วนใหญ่จะไม่ได้รับผลกระทบ (โดยตรง) อย่างน้อย Firefox และ Chrome ไม่ใช้ OpenSSL SSH ไม่ได้รับผลกระทบ การกระจายของแพ็คเกจ Ubuntu จะไม่ได้รับผลกระทบ (ขึ้นอยู่กับลายเซ็นของ GPG)

คุณมีความเสี่ยงหากคุณเรียกใช้เซิร์ฟเวอร์ชนิดใดก็ตามที่ใช้ OpenSSL เวอร์ชั่น 1.0–1.0.1f (ยกเว้นรุ่นของหลักสูตรที่ได้รับการแก้ไขเนื่องจากข้อผิดพลาดถูกค้นพบ) เวอร์ชัน Ubuntu ที่ได้รับผลกระทบคือ 11.10 oneiric ผ่าน 14.04 trusty pre-release มันเป็นข้อผิดพลาดในการใช้งานไม่ใช่ข้อบกพร่องในโปรโตคอลดังนั้นเฉพาะโปรแกรมที่ใช้ไลบรารี OpenSSL เท่านั้นที่จะได้รับผลกระทบ หากคุณมีโปรแกรมที่เชื่อมโยงกับ OpenSSL เวอร์ชัน 0.9.x เก่ามันจะไม่ได้รับผลกระทบ เฉพาะโปรแกรมที่ใช้ไลบรารี OpenSSL เพื่อใช้งานโปรโตคอล SSL เท่านั้นที่ได้รับผลกระทบ โปรแกรมที่ใช้ OpenSSL สำหรับสิ่งอื่น ๆ จะไม่ได้รับผลกระทบ

หากคุณใช้เซิร์ฟเวอร์ที่เสี่ยงต่อการสัมผัสกับอินเทอร์เน็ตให้พิจารณาว่าเป็นอันตรายเว้นแต่ว่าไฟล์บันทึกของคุณจะไม่มีการเชื่อมต่อนับตั้งแต่มีการประกาศใน 2014-04-07 (ซึ่งถือว่าเป็นช่องโหว่ที่ไม่ได้ใช้ประโยชน์ก่อนประกาศ) หากเซิร์ฟเวอร์ของคุณเปิดเผยเฉพาะภายในไม่ว่าคุณจะต้องเปลี่ยนคีย์จะขึ้นอยู่กับมาตรการรักษาความปลอดภัยอื่น ๆ

ผลกระทบคืออะไร?

ข้อผิดพลาดช่วยให้ลูกค้าที่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ SSL ของคุณเพื่อเรียกคืนหน่วยความจำประมาณ 64kB จากเซิร์ฟเวอร์ ลูกค้าไม่จำเป็นต้องได้รับการตรวจสอบความถูกต้อง แต่อย่างใด โดยการโจมตีซ้ำลูกค้าสามารถถ่ายโอนข้อมูลส่วนต่าง ๆ ของหน่วยความจำในความพยายามอย่างต่อเนื่อง

ข้อมูลสำคัญชิ้นหนึ่งที่ผู้โจมตีอาจสามารถเรียกคืนได้คือคีย์ส่วนตัว SSL ของเซิร์ฟเวอร์ ด้วยข้อมูลนี้ผู้โจมตีสามารถเลียนแบบเซิร์ฟเวอร์ของคุณ

ฉันจะกู้คืนบนเซิร์ฟเวอร์ได้อย่างไร

1. ทำให้เซิร์ฟเวอร์ที่ได้รับผลกระทบทั้งหมดออฟไลน์ ตราบใดที่พวกเขากำลังทำงานพวกเขากำลังรั่วข้อมูลสำคัญ

2. อัปเกรดlibssl1.0.0แพคเกจและตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ที่ได้รับผลกระทบทั้งหมดเริ่มต้นใหม่
   คุณสามารถตรวจสอบว่ากระบวนการที่ได้รับผลกระทบยังคงทำงานอยู่หรือไม่ด้วย `` grep 'libssl (ลบแล้ว) '/ proc / / maps`

3. สร้างคีย์ใหม่ สิ่งนี้จำเป็นเนื่องจากข้อผิดพลาดอาจทำให้ผู้โจมตีสามารถรับคีย์ส่วนตัวเก่าได้ ทำตามขั้นตอนเดียวกันกับที่คุณใช้ในตอนแรก

   • หากคุณใช้ใบรับรองที่ลงนามโดยผู้ออกใบรับรองให้ส่งกุญแจสาธารณะใหม่ของคุณไปที่ CA เมื่อคุณได้รับใบรับรองใหม่ให้ติดตั้งบนเซิร์ฟเวอร์ของคุณ
   • หากคุณใช้ใบรับรองที่ลงนามเองให้ติดตั้งบนเซิร์ฟเวอร์ของคุณ
   • ไม่ว่าจะด้วยวิธีใดให้ย้ายคีย์เก่าและใบรับรองออกไป (แต่ไม่ต้องลบทิ้งเพียงแค่ให้แน่ใจว่าพวกเขาจะไม่ได้ใช้งานอีกต่อไป)

4. ตอนนี้คุณมีคีย์ใหม่ที่ไม่ยอมแพ้คุณสามารถนำเซิร์ฟเวอร์ของคุณกลับมาออนไลน์ได้

5. เพิกถอนใบรับรองเก่า

6. การประเมินความเสียหาย : ข้อมูลใด ๆ ที่อยู่ในหน่วยความจำของกระบวนการที่ให้บริการการเชื่อมต่อ SSL อาจมีการรั่วไหลออกไป ซึ่งอาจรวมถึงรหัสผ่านผู้ใช้และข้อมูลลับอื่น ๆ คุณต้องประเมินว่าข้อมูลนี้อาจเป็นอะไร

   • หากคุณใช้บริการที่อนุญาตให้ตรวจสอบรหัสผ่านรหัสผ่านของผู้ใช้ที่เชื่อมต่อตั้งแต่ก่อนที่จะมีการประกาศช่องโหว่ควรได้รับการพิจารณาว่าเป็นอันตราย (ก่อนหน้านี้เล็กน้อยเนื่องจากรหัสผ่านอาจยังไม่ได้ใช้งานในหน่วยความจำชั่วครู่หนึ่ง) ตรวจสอบบันทึกของคุณและเปลี่ยนรหัสผ่านของผู้ใช้ที่ได้รับผลกระทบ
   • ยังทำให้คุกกี้เซสชันทั้งหมดใช้งานไม่ได้เนื่องจากคุกกี้อาจถูกโจมตี
   • ใบรับรองไคลเอ็นต์จะไม่ถูกบุกรุก
   • ข้อมูลใด ๆ ที่มีการแลกเปลี่ยนกันมาตั้งแต่ก่อนที่ช่องโหว่อาจยังคงอยู่ในหน่วยความจำของเซิร์ฟเวอร์และอาจถูกรั่วไหลไปยังผู้โจมตี
   • หากมีคนบันทึกการเชื่อมต่อ SSL เก่าและดึงกุญแจเซิร์ฟเวอร์ของคุณตอนนี้พวกเขาสามารถถอดรหัสการถอดเสียงได้ (ยกเว้นว่ามีPFS ที่แน่นอน - หากคุณไม่รู้ก็ไม่ได้)

ฉันจะกู้คืนลูกค้าได้อย่างไร?

มีเพียงไม่กี่สถานการณ์ที่แอปพลิเคชันไคลเอ็นต์ได้รับผลกระทบ ปัญหาด้านเซิร์ฟเวอร์คือทุกคนสามารถเชื่อมต่อกับเซิร์ฟเวอร์และใช้ประโยชน์จากข้อบกพร่อง ในการใช้ประโยชน์จากลูกค้าจะต้องปฏิบัติตามเงื่อนไขสามประการ:

• โปรแกรมไคลเอ็นต์ใช้ไลบรารี OpenSSL เวอร์ชัน buggy เพื่อใช้โปรโตคอล SSL
• ไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์ที่เป็นอันตราย (ตัวอย่างเช่นหากคุณเชื่อมต่อกับผู้ให้บริการอีเมลนี่ไม่ใช่ข้อกังวล) สิ่งนี้จะเกิดขึ้นหลังจากเจ้าของเซิร์ฟเวอร์เริ่มตระหนักถึงความเสี่ยงดังกล่าวดังนั้นหลังจาก 2014-04-07
• กระบวนการไคลเอนต์มีข้อมูลลับในหน่วยความจำที่ไม่ได้แชร์กับเซิร์ฟเวอร์ (ดังนั้นหากคุณเพิ่งwgetจะดาวน์โหลดไฟล์ไม่มีข้อมูลรั่วไหล)

หากคุณทำเช่นนั้นระหว่าง 2014-04-07 ตอนเย็น UTC และอัปเกรดไลบรารี OpenSSL ของคุณให้พิจารณาข้อมูลใด ๆ ที่อยู่ในหน่วยความจำของกระบวนการไคลเอนต์เพื่อให้ถูกบุกรุก

อ้างอิง

• The Heartbleed Bug (โดยหนึ่งในสองทีมที่ค้นพบข้อผิดพลาดอย่างอิสระ)
• การเต้นของหัวใจ OpenSSL TLS (Heartbleed) ใช้ประโยชน์อย่างไร
• Heartbleed หมายถึงใบรับรองใหม่สำหรับเซิร์ฟเวอร์ SSL ทุกเครื่องหรือไม่
• Heartbleed: มันคืออะไรและมีตัวเลือกอะไรบ้างในการลดความมัน?

หากต้องการดูเวอร์ชัน OpenSSL ที่ติดตั้งบน Ubuntu ให้ทำดังนี้

dpkg -l | grep openssl

หากคุณเห็นเอาต์พุตเวอร์ชันต่อไปนี้ควรรวม patch สำหรับ CVE-2014-0160

ii  openssl      1.0.1-4ubuntu5.12      Secure Socket Layer (SSL)...

ดูที่https://launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12จะแสดงว่ามีการแก้ไขข้อบกพร่องชนิดใด:

...
 SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160
 -- Marc Deslauriers <email address hidden>   Mon, 07 Apr 2014 15:45:14 -0400
...

หากที่เก็บ apt-get ของคุณไม่มีไฟล์ OpenSSLเวอร์ชั่น1.0.1g ที่คอมไพล์แล้วให้ดาวน์โหลดแหล่งข้อมูลจากเว็บไซต์ทางการแล้วคอมไพล์

ด้านล่างบรรทัดคำสั่งเดียวในการรวบรวมและติดตั้งรุ่น openssl ล่าสุด

curl https://www.openssl.org/source/openssl-1.0.1g.tar.gz | tar xz && cd openssl-1.0.1g && sudo ./config && sudo make && sudo make install

แทนที่ไฟล์ไบนารี openssl เก่าด้วยไฟล์ใหม่ผ่าน symlink

sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`

คุณเป็นคนดี!

# openssl version should return
openssl version
OpenSSL 1.0.1g 7 Apr 2014

CF นี้โพสต์บล็อก

หมายเหตุ:ตามที่ระบุไว้ในโพสต์บล็อกวิธีแก้ปัญหานี้จะไม่แก้ไข "Nginx และเซิร์ฟเวอร์ Apache ที่จะต้องคอมไพล์ใหม่ด้วยแหล่งที่มาของ OpenSSL 1.0.1g"

สำหรับผู้ที่ไม่ต้องการอัพเกรดแพ็คเกจทั่วทั้งเซิร์ฟเวอร์ ฉันได้อ่านคำแนะนำเหล่านี้แล้ววันนี้และapt-get upgrade openssl=== apt-get upgradeสิ่งนี้จะใช้การแก้ไขด้านความปลอดภัยทั้งหมดที่เครื่องของคุณต้องการ ยอดเยี่ยมเว้นแต่คุณจะพึ่งพาแพคเกจรุ่นเก่าอย่างชัดเจน

นี่คือการกระทำขั้นต่ำที่จำเป็นสำหรับ Ubuntu 12.04 LTS ที่ใช้ Apache 2:

• ไปที่ที่อยู่นี้และพิสูจน์ว่าคุณมีช่องโหว่ คุณควรใช้ที่อยู่ภายนอกโดยตรงของเว็บเซิร์ฟเวอร์ของคุณ หากคุณใช้ loadbalancer (เช่น ELB) คุณอาจไม่ติดต่อเว็บเซิร์ฟเวอร์ของคุณโดยตรง

• รัน 1 ซับต่อไปนี้เพื่ออัพเกรดแพ็กเกจและรีสตาร์ท ใช่ฉันเห็นมัคคุเทศก์ทั้งหมดบอกว่าคุณควรจะมีการประทับเวลาช้ากว่าวันที่ 4 เมษายน 2014 ดูเหมือนจะไม่เป็นเช่นนั้นสำหรับฉัน

  apt-get update && apt-get install openssl libssl1.0.0 && /etc/init.d/apache2 รีสตาร์ท

• ตรวจสอบให้แน่ใจว่าคุณติดตั้งรุ่นแพ็คเกจที่เหมาะสมและตรวจสอบเว็บเซิร์ฟเวอร์ของคุณเพื่อหาช่องโหว่อีกครั้ง

แพ็คเกจสำคัญมีดังต่อไปนี้ฉันได้พิจารณาข้อมูลนี้โดยใช้คำสั่งด้านล่างแล้วแก้ไข cruft (คุณไม่จำเป็นต้องรู้อะไรเกี่ยวกับสถานะของเครื่องของฉัน)

$ dpkg -l | grep ssl

ii  libssl-dev                       1.0.1-4ubuntu5.12          SSL development libraries, header files and documentation
ii  libssl1.0.0                      1.0.1-4ubuntu5.12          SSL shared libraries
ii  openssl                          1.0.1-4ubuntu5.12          Secure Socket Layer (SSL)* binary and related cryptographic tools

1.0.1-4ubuntu5.12ไม่ควรมีช่องโหว่ ตรวจสอบให้แน่ใจว่าเป็นกรณีนี้โดยไปที่เว็บไซต์ด้านล่างอีกครั้งและทดสอบเว็บเซิร์ฟเวอร์ของคุณ

http://filippo.io/Heartbleed/

ฉันสังเกตเห็นผู้แสดงความคิดเห็นหลายคนที่ต้องการความช่วยเหลืออย่างเร่งด่วน พวกเขากำลังทำตามคำแนะนำและการอัพเกรดและการรีบูตและยังมีช่องโหว่เมื่อใช้เว็บไซต์ทดสอบบางแห่ง

คุณต้องตรวจสอบเพื่อให้แน่ใจว่าคุณไม่มีแพ็คเกจที่ถูกระงับเช่น libssl

:~$ sudo apt-get upgrade -V
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages have been kept back:
  libssl-dev (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  libssl1.0.0 (1.0.1-4ubuntu5.10 => 1.0.1-4ubuntu5.12)
  linux-image-virtual (3.2.0.31.34 => 3.2.0.60.71)
  linux-virtual (3.2.0.31.34 => 3.2.0.60.71)
0 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.

เพื่ออัพเกรดเหล่านั้นapt-mark unhold libssl1.0.0(ตัวอย่าง) จากนั้นอัปเกรด: apt-get upgrade -V. จากนั้นเริ่มบริการที่ได้รับผลกระทบ