Frage Mein Server ist immer noch anfällig für Heartbleed, auch nachdem ich OpenSSL aktualisiert habe


Ich habe einen Ubuntu 12.04 Server. Ich habe das aktualisiert OpenSSL Paket, um die Heartbleed-Schwachstelle zu beheben. Aber ich bin immer noch verwundbar, obwohl ich den Webserver und sogar den ganzen Server neu gestartet habe.

Um meine Schwachstelle zu überprüfen, habe ich Folgendes verwendet:

dpkg gibt:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)


27
2018-04-08 17:33


Ursprung


Ausgabe von openssl version -a? - Nathan C
Ich betreibe auch 12.04 Server (mit Nginx). Meins ist so eingestellt, dass automatisch Sicherheitsupdates installiert werden und wenn ich das Python-Skript ausführe, heißt es, dass es nicht angreifbar ist. Haben Sie nginx aus dem Paket-Repository oder manuell installiert? - mikeazo
Was machst du auf diesem Port? Wenn es sich um eine Drittanbieter-App handelt, verfügen Sie möglicherweise über eine statische Bibliothek - Nathan C


Antworten:


Stellen Sie sicher, dass die libssl1.0.0 Das Paket wurde ebenfalls aktualisiert (das Paket enthält die eigentliche Bibliothek, die openssl Paket enthält die Tools) und alle Dienste, die die Bibliothek verwenden, wurden nach dem Upgrade neu gestartet.

Sie müssen alle Dienste neu starten, indem Sie openssl (service apache restart) verwenden.


28
2018-04-08 18:31



Um eine Liste der Dienste zu erhalten, die Ihre ältere, jetzt ersetzte Version von libssl verwenden, versuchen Sie Folgendes: "lsof -n | grep ssl | grep DEL". Oder, wenn Sie superparanoid sind, können Sie eine Liste von allem mit einer beliebigen Version von libssl erhalten: "lsof -n | grep libssl | cut -c1-10 | sort | uniq" - Jemenake


Es ist möglich Sie sind ein falscher positiver Fall, per FAQ:

Ich bekomme falsche Positive (rot)!

Seien Sie vorsichtig, es sei denn, Sie haben die Seite auf den Knopf gehämmert, ich kann mir nicht vorstellen, dass ein Rot nicht rot ist.

Überprüfen Sie den Speicherauszug, wenn es da ist, dann hat das Tool es von irgendwo her bekommen.

Nehmen wir an, ich bin zu 99% sicher, dass Sie besser aussehen sollten, wenn Sie nach korrekter Aktualisierung alle Prozesse neu gestartet haben.

Update: Ich bekomme immer noch Berichte über nicht betroffene Versionen, die rot werden. Bitte komm Kommentar zu dem Problem wenn Sie betroffen sind. Ich suche 3 Dinge: Speicherabzüge (um herauszufinden, woher sie kommen), Zeitstempel (so genau wie möglich, versuchen Sie es mit der Registerkarte Netzwerk), eine vollständige Beschreibung dessen, was Sie angeklickt und getippt haben.

Sie können Ihre Website mit einem anderen Tool wie testen SSLLabsund sehen, ob Sie immer noch als gefährdet gemeldet werden.
Sie sollten das Problem auch mit der Meldung melden http://filippo.io/Heartbleed Tester wie oben beschrieben.


3
2018-04-09 18:49



Hat sich durch SSLLabs als anfällig für Heartbleed herausgestellt - Matt
@Matt Sie könnten tatsächlich ein Problem haben - überprüfen Sie den Speicherabzug (erhalten Sie einen?) Und verbinden Sie sich mit den netten Leuten hinter dem filippo.io-Tool. - voretaq7


Wenn Sie mod_spdy ausführen, stellen Sie sicher, dass Sie Ihre mod_spdy-Installation aktualisieren. Sehen https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU für Details. Sie müssen entweder die mod_spdy deb aktualisieren oder die vorherige Version vollständig entfernen.


2
2018-04-09 00:11





Sie haben wahrscheinlich ein Programm, das 443 mit einer statisch verknüpften OpenSSL-Bibliothek abhört. Das bedeutet, dass das Programm ein eigenes OpenSSL enthält - aktualisieren Sie dieses Programm auch! Wenn einer nicht verfügbar ist, benachrichtigen Sie den Anbieter sofort und suspendiere diese Anwendung wenn möglich!


2
2018-04-09 19:00





Es ist möglich, dass Sie den Fehler auf der Website finden FAQ Seite. Es scheint, dass Sie unter Umständen eine anfällige Benachrichtigung auch auf einem gepatchten System erhalten können.

Ich bekomme falsche Positive (rot)!

Seien Sie vorsichtig, es sei denn, Sie haben die Seite auf den Knopf gehämmert, ich kann mir nicht vorstellen, dass ein Rot nicht rot ist.   Überprüfen Sie den Speicherauszug, wenn es da ist, dann hat das Tool es von irgendwo her bekommen.   Nehmen wir an, ich bin zu 99% sicher, dass Sie besser aussehen sollten, wenn Sie nach korrekter Aktualisierung alle Prozesse neu gestartet haben.

Update: Ich bekomme immer noch Berichte über nicht betroffene Versionen, die rot werden. Bitte kommentieren Sie das Problem, wenn Sie betroffen sind. Ich suche 3 Dinge: Speicherabzüge (um herauszufinden, woher sie kommen), Zeitstempel (so genau wie möglich, versuchen Sie es mit der Registerkarte Netzwerk), eine vollständige Beschreibung dessen, was Sie angeklickt und getippt haben.

Ich würde vorschlagen, mit einem alternativen Test wie z Qualys um zu bestätigen, dass Ihr System nicht mehr anfällig ist. Wenn es nicht vorbei ist Github und melde es.


Es ist immer noch kaputt

Was ist? Der "Server", über den Sie sprechen, kann eine statisch verknüpfte OpenSSl-Bibliothek haben. Dies bedeutet, dass Ihre Anwendung trotz der Aktualisierung Ihres Systems weiterhin gefährdet ist! Sie müssen sofort mit dem Softwareanbieter sprechen, um einen Patch zu erhalten, oder den Dienst ausschalten, bis Sie es tun.

Muss ich den Dienst wirklich deaktivieren, bis der Patch beendet ist?

Ja, der Betrieb eines anfälligen Dienstes ist bis zur möglichen Fahrlässigkeit äußerst gefährlich! Sie könnten irgendwelche Daten verlieren, die der Server vom Transport entschlüsselt und nicht einmal kennt!


2
2018-04-09 18:52





Stellen Sie sicher, dass Ihr nginx die Systembibliothek verwendet: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/


1
2018-04-08 18:26





Dies ist sehr gut möglich, wenn die Anwendung, die auf 443 ausgeführt wird, eine statische Bibliothek für OpenSSL verwendet. Wenn dies der Fall ist, müssen Sie aktualisieren Das Anwendung nicht mehr verwundbar sein.


0
2018-04-09 19:01





Endlich konnte ich mein OP-ähnliches Problem beheben. Mein Server ist ein LAMP-Stack von Bitnami. Befolgen Sie diese Anweisungen:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommitted-heartbleed-patch/23530/9


-1
2018-04-10 18:40