Od kilku dni (2-3) zapewne wielu „ludzi z branży” łata serwery w związku z upublicznieniem luki w OpenSSL nazwanej „Heartbleed” (Krwawiące serce).
Większość „swoich” serwerów mam na Debianie (np. Raspberry Pi, DigitalOcena) więc czym prędzej przystąpiłem do aktualizacji…
Zostałem też poproszony o pomoc – na jednym z serwerów mimo aktualizacji wszystkie narzędzia pokazywały, że serwer dalej podatny jest na ten atak…
Może ktoś ma podobny problem, więc do rzeczy:
Spis treści w artykule
- 1 Heartbleed i OpenSSL 1.0.1f
- 1.0.1 Z pomocą przyszła możliwość instalacji pakietu w zadeklarowanej/wybranej wersji:
- 1.0.2 Zapytanie o wersję OpenSSL tym razem zwracało:
- 1.0.3 „Winna” temu była jeszcze biblioteka, która dalej pozostała w wersji 1.0.1f, ale i temu można było szybko zaradzić:
- 1.0.4 Po tej operacji serwer powinien być już bezpieczny… Przynajmniej na krwawiące serce…
- 2 OpenSSL to nie tylko serwery…
Heartbleed i OpenSSL 1.0.1f
Po zapytaniu o wersję OpenSSL:
openssl version -a
okazało się, że jest tam wersja 1.0.1f – podatna na atak, natomiast wersja załatana (stabilna) to „numeracyjne” starsza (1.0.1e-2+deb7u5, teraz już 1.0.1e-2+deb7u6), więc standardowa próba aktualizacji nic nie dała.
Z pomocą przyszła możliwość instalacji pakietu w zadeklarowanej/wybranej wersji:
sudo aptitude install openssl=1.0.1e-2+deb7u6
Choć to rozwiązuje problem tylko w połowie, a więc w tym przypadku w ogóle… ;-)
Zapytanie o wersję OpenSSL tym razem zwracało:
OpenSSL 1.0.1e 11 Feb 2013 (Library: OpenSSL 1.0.1f-dev xx XXX xxxx)
built on: Mon Dec 23 14:23:57 UTC 2013
platform: debian-amd64
I oczywiście wszystkie testy pokazywały, że serwer nadal jest podatny na atak.
„Winna” temu była jeszcze biblioteka, która dalej pozostała w wersji 1.0.1f, ale i temu można było szybko zaradzić:
sudo aptitude install libssl1.0.0=1.0.1e-2+deb7u6
Na koniec jeszcze restart Apache:
sudo service apache2 restart
Można też – na szelki wypadek – zrestartować cały serwer…
Po tej operacji serwer powinien być już bezpieczny… Przynajmniej na krwawiące serce…
OpenSSL to nie tylko serwery…
Warto zauważyć, że biblioteka OpenSSL jest wykorzystywana nie tylko na serwerach, ale i na komputerach (i telefonach, np. Android).
I zapewne nic nie stoi na przeszkodzie, by za pomocą odpowiednio przygotowanej strony WWW spróbować wykraść dane z pamięci odwiedzających użytkowników, oczywiście sytuację trochę ratuje – poza aktualizacją – separacja pamięci dla procesów…
Zaryzykuje, że w tym przypadku to użytkownicy Linuxa mają większy problem niż użytkownicy urządzeń z systemem Windows ;-)
- Home Assistant 2024.11, czyli „sekcje” domyślnym widokiem z opcją migracji, WebRTC oraz wirtualna kamera - 1970-01-01
- Black Friday w ZUS, czyli jest jeszcze kilka dni, by złożyć wniosek RWS i skorzystać z wakacji składkowych płacąc ZUS za grudzień 2024 - 1970-01-01
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01
ty możesz łaskawie wrzucać daty swoich wypocin ?
Wypociny to – ca najwyżej – czasem w komentarzach się trafiają… ;-)
A i jakie pytanie – taka odpowiedź: daty są…