Od kilku dni (2-3) zapewne wielu „ludzi z branży” łata serwery w związku z upublicznieniem luki w OpenSSL nazwanej „Heartbleed” (Krwawiące serce).
Większość „swoich” serwerów mam na Debianie (np. Raspberry Pi, DigitalOcena) więc czym prędzej przystąpiłem do aktualizacji…
Zostałem też poproszony o pomoc – na jednym z serwerów mimo aktualizacji wszystkie narzędzia pokazywały, że serwer dalej podatny jest na ten atak…
Może ktoś ma podobny problem, więc do rzeczy:
Spis treści w artykule [rozwiń]
Heartbleed i OpenSSL 1.0.1f
Po zapytaniu o wersję OpenSSL:
openssl version -a
okazało się, że jest tam wersja 1.0.1f – podatna na atak, natomiast wersja załatana (stabilna) to „numeracyjne” starsza (1.0.1e-2+deb7u5, teraz już 1.0.1e-2+deb7u6), więc standardowa próba aktualizacji nic nie dała.
Z pomocą przyszła możliwość instalacji pakietu w zadeklarowanej/wybranej wersji:
sudo aptitude install openssl=1.0.1e-2+deb7u6
Choć to rozwiązuje problem tylko w połowie, a więc w tym przypadku w ogóle… ;-)
Zapytanie o wersję OpenSSL tym razem zwracało:
OpenSSL 1.0.1e 11 Feb 2013 (Library: OpenSSL 1.0.1f-dev xx XXX xxxx)
built on: Mon Dec 23 14:23:57 UTC 2013
platform: debian-amd64
I oczywiście wszystkie testy pokazywały, że serwer nadal jest podatny na atak.
„Winna” temu była jeszcze biblioteka, która dalej pozostała w wersji 1.0.1f, ale i temu można było szybko zaradzić:
sudo aptitude install libssl1.0.0=1.0.1e-2+deb7u6
Na koniec jeszcze restart Apache:
sudo service apache2 restart
Można też – na szelki wypadek – zrestartować cały serwer…
Po tej operacji serwer powinien być już bezpieczny… Przynajmniej na krwawiące serce…
OpenSSL to nie tylko serwery…
Warto zauważyć, że biblioteka OpenSSL jest wykorzystywana nie tylko na serwerach, ale i na komputerach (i telefonach, np. Android).
I zapewne nic nie stoi na przeszkodzie, by za pomocą odpowiednio przygotowanej strony WWW spróbować wykraść dane z pamięci odwiedzających użytkowników, oczywiście sytuację trochę ratuje – poza aktualizacją – separacja pamięci dla procesów…
Zaryzykuje, że w tym przypadku to użytkownicy Linuxa mają większy problem niż użytkownicy urządzeń z systemem Windows ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wtyczka BackWPup w wersji 5.x to doskonały przykład, jak wylać dziecko z kąpielą i z relatywnie świetnego narzędzia zrobić właściwie bezwartościowego gniota - 1970-01-01
- Testowy przelew w Bitcoinach z najniższą prowizją, czyli krótka historia o tym, jak zamroziłem BTC na (ponad) rok - 1970-01-01
- Nowy system kopii zapasowych w Home Assistant 2025.1 to zapewne krok w dobrym kierunku, ale zdecydowanie przedwczesny - 1970-01-01
ty możesz łaskawie wrzucać daty swoich wypocin ?
Wypociny to – ca najwyżej – czasem w komentarzach się trafiają… ;-)
A i jakie pytanie – taka odpowiedź: daty są…