更新到14.04后,OpenSSL仍然容易受到攻击
我们有一台运行OpenVPN的AWS服务器,它是使用Ubuntu 13.10构建的。 在宣布Heartbleed漏洞后,我们更新了服务器。 今天早上,我们将服务器升级到14.04。 “openssl version -a”的当前输出是:
OpenSSL 1.0.1f 6 Jan 2014 built on: Mon Apr 7 21:22:23 UTC 2014 platform: debian-amd64 options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) compiler: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/usr/lib/ssl" 我使用以下方法validation了服务器仍然易受攻击的事实:
:~$ openssl s_client -connect openvpn.example.com:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe TLS server extension "heartbeat" (id=15), len=1
尝试运行“sudo apt-get install openssl”返回已安装当前版本。 解决此问题的最佳选择是什么? 在分发升级期间是否出现问题; 即14.04 OpenSSL套件实际上是在危险范围之外吗? 或者存储库本身是否存在问题?
正如@ david6指出的那样,OpenSSL的版本似乎仍然是一个易受攻击的版本。 这是因为与许多其他发行版一样,Ubuntu 向后移植安全修复程序,而不是更新到整个较新版本的软件(并且可能在此过程中获取新function及其随之而来的错误)。 因此,仅仅因为您正在运行OpenSSL的“易受攻击的版本”并不意味着您正在运行易受攻击的OpenSSL版本。
但是,如果可用的Heartbleed审核表明您仍然容易受到攻击,那么您仍然很脆弱。
我的想法是你已经更新了软件包,但是你还没有重新启动使用OpenSSL的服务 ,因此他们仍然坚持使用它们在启动时加载的旧版本。
有两种简单的方法可以解决这个问题:
-
重新启动服务器。
-
识别并重新启动受影响的服务。 一个简单的方法是使用
debian-goodies包中的checkrestart 。 它应该识别受影响的服务,甚至告诉您init脚本将重新启动它们:$ sudo apt-get install debian-goodies $ sudo checkrestart
你是对的。
但是,为了不再容易受到Ubuntu上的OpenSSL / Heartbleed的攻击,您只需要使用OpenSSL库的更新编译。
命令openssl version -a应该显示新日期:’ build on:Mon Apr 7 ‘
实际例子:
(1.)Ubuntu 14.04 LTS (64位,桌面) – 从13.10升级
OpenSSL 1.0.1f 6 Jan 2014 built on: Mon Apr 7 21:22:23 UTC 2014 platform: debian-amd64 :
(2.)Ubuntu 14.04 LTS (64位,桌面) – 全新安装
OpenSSL 1.0.1f 6 Jan 2014 built on: Mon Apr 7 21:22:23 UTC 2014 platform: debian-amd64 :
(3.)Ubuntu 12.04 LTS (64位,服务器) – 完全更新
OpenSSL 1.0.1 14 Mar 2012 built on: Mon Apr 7 20:33:29 UTC 2014 platform: debian-amd64 :
注意:
-
Ubuntu维护者在用全新版本(具有不同function)“替换”库之前有一个漫长的测试周期。 这个bug的简单修复 是添加边界检查逻辑(用于心跳function) 或者用标志( pragma ) 编译以完全排除心跳function。 这两个选项不会对任何其他应用程序或服务产生负面影响。
-
如果您从源代码安装了OpenSSL v1.0.1(或v1.0.2 beta )版本,或者从某个地方下载了二进制文件(用于Ubuntu),那么除非您使用v1.0.1g ( 或编译版本),否则您确实会受到攻击 选项已被用于删除’心跳’ )。 仅使用受信任的来源。
升级到最新版本如果你在Ubuntu上运行CVE-2016-2107就可以了:请参阅https://forums.openvpn.net/viewtopic.php?f=4&t=21699&p=62376#p62376
如果你dpkg当前的openvpn_as服务器你可以看到它已经更新了openssl超过bug:
jonathan@Jonathan-Les-MacBook-Pro:~/Downloads/openvpn/usr/local/openvpn_as/lib/pkgconfig$ cat openssl.pc prefix=/usr/local/openvpn_as exec_prefix=$ {prefix} libdir=${exec_prefix}/lib64 includedir=${prefix} /include Name: OpenSSL Description: Secure Sockets Layer and cryptography libraries and tools Version: 1.0.2h Requires: libssl libcrypto
对于CVE-2016-2107, 请访问https://www.openssl.org/news/secadv/20160503.txt:“OpenSSL 1.0.2用户应升级到1.0.2h”
我们升级到最新版本,现在是A-OK