Od kilku dni (2-3) zapewne wielu „ludzi z branży” łata serwery w związku z upublicznieniem luki w OpenSSL nazwanej „Heartbleed” (Krwawiące serce).

Większość „swoich” serwerów mam na Debianie (np. Raspberry Pi, DigitalOcena) więc czym prędzej przystąpiłem do aktualizacji…

Zostałem też poproszony o pomoc – na jednym z serwerów mimo aktualizacji wszystkie narzędzia pokazywały, że serwer dalej podatny jest na ten atak…

Może ktoś ma podobny problem, więc do rzeczy:

Heartbleed i OpenSSL 1.0.1f

Po zapytaniu o wersję OpenSSL:

openssl version -a

okazało się, że jest tam wersja 1.0.1f – podatna na atak, natomiast wersja załatana (stabilna) to „numeracyjne” starsza (1.0.1e-2+deb7u5, teraz już 1.0.1e-2+deb7u6), więc standardowa próba aktualizacji nic nie dała.

Z pomocą przyszła możliwość instalacji pakietu w zadeklarowanej/wybranej wersji:

sudo aptitude install openssl=1.0.1e-2+deb7u6

Choć to rozwiązuje problem tylko w połowie, a więc w tym przypadku w ogóle… ;-)

Zapytanie o wersję OpenSSL tym razem zwracało:

OpenSSL 1.0.1e 11 Feb 2013 (Library: OpenSSL 1.0.1f-dev xx XXX xxxx)
built on: Mon Dec 23 14:23:57 UTC 2013
platform: debian-amd64

I oczywiście wszystkie testy pokazywały, że serwer nadal jest podatny na atak.

„Winna” temu była jeszcze biblioteka, która dalej pozostała w wersji 1.0.1f, ale i temu można było szybko zaradzić:

sudo aptitude install libssl1.0.0=1.0.1e-2+deb7u6

Na koniec jeszcze restart Apache:

sudo service apache2 restart

Można też – na szelki wypadek – zrestartować cały serwer…

Po tej operacji serwer powinien być już bezpieczny… Przynajmniej na krwawiące serce…

OpenSSL to nie tylko serwery…

Warto zauważyć, że biblioteka OpenSSL jest wykorzystywana nie tylko na serwerach, ale i na komputerach (i telefonach, np. Android).

I zapewne nic nie stoi na przeszkodzie, by za pomocą odpowiednio przygotowanej strony WWW spróbować wykraść dane z pamięci odwiedzających użytkowników, oczywiście sytuację trochę ratuje – poza aktualizacją – separacja pamięci dla procesów…

Zaryzykuje, że w tym przypadku to użytkownicy Linuxa mają większy problem niż użytkownicy urządzeń z systemem Windows ;-)

(!) Zgłoś błąd na stronie | Lub postaw nam kawę :-)
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk