Мой сервер по-прежнему уязвим к сердечному кровотечению даже после обновления OpenSSL

28

У меня есть сервер Ubuntu 12.04. Я обновил OpenSSLпакет, чтобы исправить уязвимость. Но я все еще уязвим, даже если я перезапустил веб-сервер и даже весь сервер.

Чтобы проверить мою уязвимость, я использовал:

ДПКГ дает:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(Launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

user3301260
источник
Выход openssl version -a?
Натан C
Я использую сервер 12.04 (с nginx) тоже. Моя установка настроена на автоматическую установку обновлений безопасности, и когда я запускаю скрипт python, он говорит, что не уязвим. Вы устанавливали nginx из репозитория пакетов или вручную?
mikeazo
1
Что вы используете на этом порту? Если это стороннее приложение, у вас может быть статическая библиотека
Nathan C

Ответы:

29

Убедитесь, что libssl1.0.0пакет также был обновлен (этот пакет содержит фактическую библиотеку, opensslпакет содержит инструменты) и что все службы, использующие библиотеку, были перезапущены после обновления.

Вы должны перезапустить все службы, используя openssl (перезапуск службы apache).

Хокан Линдквист
источник
4
Чтобы получить список служб, использующих вашу старую, теперь замененную версию libssl, попробуйте: «lsof -n | grep ssl | grep DEL». Или, если вы супер-параноик, вы можете получить список всего, используя любую версию libssl: "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

Это возможно вы ложный положительный случай, согласно FAQ :

Я получаю ложные срабатывания (красный)!

Будьте осторожны, если только вы не нажали на сайт, нажимая кнопку, я никак не могу подумать, что красный - это не красный.

Проверьте дамп памяти, если он есть, то инструмент откуда-то его получил.

Допустим, я на 99% уверен, что вы должны выглядеть лучше, если перезапустили все процессы после корректного обновления.

Обновление: тем не менее, я постоянно получаю сообщения о том, что версии не подвержены изменениям. Пожалуйста, пришлите комментарий к проблеме, если вы затронуты. Я ищу 3 вещи: дампы памяти (чтобы выяснить, откуда они пришли), временные метки (как можно точнее, попробуйте на вкладке Сеть), полное описание того, что вы нажали и набрали.

Вы можете протестировать свой сайт с помощью другого инструмента, такого как SSLLabs , и посмотреть, по-прежнему ли вы уязвимы.
Вам также следует сообщить о проблеме с помощью тестера http://filippo.io/Heartbleed, как описано выше.

voretaq7
источник
Подошел как уязвимый для Heartbleed с помощью SSLLabs
Мэтт
@Matt У вас действительно может быть проблема - проверьте дамп памяти (вы его получаете?) И пообщайтесь с приятелями за инструментом filippo.io.
voretaq7
2

Вероятно, у вас на 443 прослушивается программа со статически связанной библиотекой openssl. Это означает, что у программы есть свой собственный openssl - обновите и эту программу! Если он недоступен, немедленно сообщите об этом продавцу и, если возможно, приостановите это приложение!

Натан С
источник
2

Возможно, вы столкнулись с ошибкой, указанной на странице часто задаваемых вопросов . Похоже, что при определенных обстоятельствах вы можете получить уязвимое уведомление даже в исправленной системе.

Я получаю ложные срабатывания (красный)!

Будьте осторожны, если только вы не нажали на сайт, нажимая кнопку, я никак не могу подумать, что красный - это не красный. Проверьте дамп памяти, если он есть, то инструмент откуда-то его получил. Допустим, я на 99% уверен, что вы должны выглядеть лучше, если перезапустили все процессы после корректного обновления.

Обновление: тем не менее, я постоянно получаю сообщения о том, что версии не подвержены изменениям. Пожалуйста, пришлите комментарий к проблеме, если вы затронуты. Я ищу 3 вещи: дампы памяти (чтобы выяснить, откуда они пришли), временные метки (как можно точнее, попробуйте на вкладке Сеть), полное описание того, что вы нажали и набрали.

Я бы предложил провести тестирование с помощью альтернативного теста, такого как Qualys, чтобы убедиться, что ваша система больше не уязвима. Если это не так, отправляйтесь на Github и сообщите об этом.


Это все еще сломано

Что? «Сервер», о котором вы говорите, может иметь статически связанную библиотеку OpenSSl. Это означает, что даже если вы обновили свою систему, ваше приложение все еще находится в опасности! Вам нужно немедленно поговорить с поставщиком программного обеспечения, чтобы получить исправление или отключить службу, пока вы этого не сделаете.

Действительно ли мне нужно отключить службу до выхода патча?

Да, запуск уязвимой службы чрезвычайно опасен до возможной небрежности! Вы можете передавать любые данные, которые сервер расшифровывает из транспорта, и даже не знать об этом!

Иаков
источник
0

Это очень возможно, если приложение, работающее на 443, использует статическую библиотеку для OpenSSL. Если это так, вы должны обновить это приложение, чтобы больше не быть уязвимым.

Натан С
источник
0

Я наконец смог исправить мою проблему, которая была похожа на OP. Мой сервер - это LAMP-стек от Bitnami. Следуя этим инструкциям:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

Matt
источник