Od kilku dni (2-3) zapewne wielu „ludzi z branży” łata serwery w związku z upublicznieniem luki w OpenSSL nazwanej „Heartbleed” (Krwawiące serce).

Większość „swoich” serwerów mam na Debianie (np. Raspberry Pi, DigitalOcena) więc czym prędzej przystąpiłem do aktualizacji…

Zostałem też poproszony o pomoc – na jednym z serwerów mimo aktualizacji wszystkie narzędzia pokazywały, że serwer dalej podatny jest na ten atak…

Może ktoś ma podobny problem, więc do rzeczy:

Heartbleed i OpenSSL 1.0.1f

Po zapytaniu o wersję OpenSSL:

openssl version -a

okazało się, że jest tam wersja 1.0.1f – podatna na atak, natomiast wersja załatana (stabilna) to „numeracyjne” starsza (1.0.1e-2+deb7u5, teraz już 1.0.1e-2+deb7u6), więc standardowa próba aktualizacji nic nie dała.

Z pomocą przyszła możliwość instalacji pakietu w zadeklarowanej/wybranej wersji:

sudo aptitude install openssl=1.0.1e-2+deb7u6

Choć to rozwiązuje problem tylko w połowie, a więc w tym przypadku w ogóle… ;-)

Zapytanie o wersję OpenSSL tym razem zwracało:

OpenSSL 1.0.1e 11 Feb 2013 (Library: OpenSSL 1.0.1f-dev xx XXX xxxx)
built on: Mon Dec 23 14:23:57 UTC 2013
platform: debian-amd64

I oczywiście wszystkie testy pokazywały, że serwer nadal jest podatny na atak.

„Winna” temu była jeszcze biblioteka, która dalej pozostała w wersji 1.0.1f, ale i temu można było szybko zaradzić:

sudo aptitude install libssl1.0.0=1.0.1e-2+deb7u6

Na koniec jeszcze restart Apache:

sudo service apache2 restart

Można też – na szelki wypadek – zrestartować cały serwer…

Po tej operacji serwer powinien być już bezpieczny… Przynajmniej na krwawiące serce…

OpenSSL to nie tylko serwery…

Warto zauważyć, że biblioteka OpenSSL jest wykorzystywana nie tylko na serwerach, ale i na komputerach (i telefonach, np. Android).

I zapewne nic nie stoi na przeszkodzie, by za pomocą odpowiednio przygotowanej strony WWW spróbować wykraść dane z pamięci odwiedzających użytkowników, oczywiście sytuację trochę ratuje – poza aktualizacją – separacja pamięci dla procesów…

Zaryzykuje, że w tym przypadku to użytkownicy Linuxa mają większy problem niż użytkownicy urządzeń z systemem Windows ;-)

Zgłoś błąd na stronie

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!

WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które - w miarę możliwości - spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. "linki partnerskie", co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte... :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!