Máy chủ của tôi vẫn dễ bị tổn thương ngay cả sau khi tôi cập nhật OpenSSL

28

Tôi có máy chủ Ubuntu 12.04. Tôi đã cập nhật OpenSSLgói để khắc phục lỗ hổng đau lòng. Nhưng tôi vẫn dễ bị tổn thương, mặc dù tôi đã khởi động lại máy chủ web và thậm chí toàn bộ máy chủ.

Để kiểm tra lỗ hổng của tôi, tôi đã sử dụng:

dpkg cho:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubfox/+source/openssl/1.0.1-4ubfox5.12)

ubuntu  nginx  security  openssl  heartbleed 
người dùng3301260
nguồn
Đầu ra của openssl version -a?
Nathan C
Tôi cũng đang chạy máy chủ 12.04 (với nginx). Mine được thiết lập để tự động cài đặt các bản cập nhật bảo mật và khi tôi chạy tập lệnh python thì nó báo không bị tổn thương. Bạn đã cài đặt nginx từ kho lưu trữ gói hoặc bằng tay?
mikeazo
1
Bạn đang chạy gì trên cổng này? Nếu đó là ứng dụng của bên thứ 3, bạn có thể có một thư viện tĩnh
Nathan C

Câu trả lời:

29

Đảm bảo rằng libssl1.0.0gói cũng đã được cập nhật (gói đó chứa thư viện thực tế, opensslgói chứa các công cụ) và tất cả các dịch vụ sử dụng thư viện đã được khởi động lại sau khi nâng cấp.

Bạn phải RESTART tất cả các dịch vụ bằng openssl (khởi động lại dịch vụ apache).

Håkan Lindqvist
nguồn
4
Để có danh sách các dịch vụ sử dụng phiên bản libssl cũ hơn, đã thay thế của bạn, hãy thử: "lsof -n | grep ssl | grep DEL". Hoặc, nếu bạn siêu hoang tưởng, bạn có thể nhận danh sách mọi thứ bằng cách sử dụng bất kỳ phiên bản libssl nào: "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

thể bạn là trường hợp dương tính giả, theo Câu hỏi thường gặp :

Tôi đang nhận được dương tính giả (màu đỏ)!

Hãy cẩn thận, trừ khi bạn làm rối trang web đang nhấn nút, không có cách nào tôi có thể nghĩ rằng màu đỏ không phải là màu đỏ.

Kiểm tra kết xuất bộ nhớ, nếu nó ở đó thì công cụ sẽ lấy nó từ đâu đó.

Giả sử tôi chắc chắn 99% rằng bạn sẽ đẹp hơn nếu bạn khởi động lại tất cả các quy trình sau khi cập nhật chính xác.

Cập nhật: vẫn vậy, tôi nhận được báo cáo liên tục về các phiên bản không bị ảnh hưởng sẽ chuyển sang màu đỏ. Hãy đến bình luận cho vấn đề nếu bạn bị ảnh hưởng. Tôi đang tìm kiếm 3 thứ: kết xuất bộ nhớ (để tìm ra chúng đến từ đâu), dấu thời gian (chính xác nhất có thể, thử với tab Mạng), mô tả đầy đủ về những gì bạn đã nhấp và nhập.

Bạn có thể kiểm tra trang web của mình bằng một công cụ khác như SSLLabs và xem liệu bạn có còn bị báo cáo là dễ bị tấn công không.
Bạn cũng nên báo cáo sự cố với trình kiểm tra http://filippo.io/Heartbleed như mô tả ở trên.

voretaq7
nguồn
Đã trở nên dễ bị tổn thương khi sử dụng SSLLabs
Matt
@Matt Thực tế bạn có thể gặp sự cố sau đó - hãy kiểm tra kết xuất bộ nhớ (bạn có nhận được không?) Và kết nối với những người tốt đằng sau công cụ filippo.io.
voretaq7
2

Bạn có thể có một chương trình nghe trên 443 có thư viện openssl được liên kết tĩnh. Điều này có nghĩa là chương trình có chương trình openssl riêng được đóng gói cùng với nó - cũng cập nhật chương trình này! Nếu không có sẵn, hãy thông báo cho nhà cung cấp ngay lập tức và tạm dừng ứng dụng này nếu có thể!

Nathan C
nguồn
2

Có thể bạn đang gặp lỗi được liệt kê trên trang Câu hỏi thường gặp . Dường như trong một số trường hợp nhất định, bạn có thể nhận được thông báo dễ bị tổn thương ngay cả trên một hệ thống được vá.

Tôi đang nhận được dương tính giả (màu đỏ)!

Hãy cẩn thận, trừ khi bạn làm rối trang web đang nhấn nút, không có cách nào tôi có thể nghĩ rằng màu đỏ không phải là màu đỏ. Kiểm tra kết xuất bộ nhớ, nếu nó ở đó thì công cụ sẽ lấy nó từ đâu đó. Giả sử tôi chắc chắn 99% rằng bạn sẽ đẹp hơn nếu bạn khởi động lại tất cả các quy trình sau khi cập nhật chính xác.

Cập nhật: vẫn vậy, tôi nhận được báo cáo liên tục về các phiên bản không bị ảnh hưởng sẽ chuyển sang màu đỏ. Hãy đến bình luận cho vấn đề nếu bạn bị ảnh hưởng. Tôi đang tìm kiếm 3 thứ: kết xuất bộ nhớ (để tìm ra chúng đến từ đâu), dấu thời gian (chính xác nhất có thể, thử với tab Mạng), mô tả đầy đủ về những gì bạn đã nhấp và nhập.

Tôi sẽ đề nghị thử nghiệm với một thử nghiệm thay thế như Qualys để xác nhận rằng hệ thống của bạn không còn dễ bị tổn thương nữa. Nếu nó không đi qua Github và báo cáo nó.

Nó vẫn bị hỏng

Những gì là? "Máy chủ" mà bạn nói đến có thể có thư viện OpenSSl được liên kết tĩnh. Điều này có nghĩa là ngay cả khi bạn cập nhật hệ thống, ứng dụng của bạn vẫn có nguy cơ! Bạn cần nói chuyện với nhà cung cấp phần mềm ngay lập tức để có bản vá hoặc tắt dịch vụ cho đến khi bạn làm điều đó.

Tôi có thực sự phải vô hiệu hóa dịch vụ cho đến khi hết bản vá không?

Có, chạy một dịch vụ dễ bị tổn thương là cực kỳ nguy hiểm đến mức có thể sơ suất! Bạn có thể bị rò rỉ bất kỳ dữ liệu nào mà máy chủ giải mã từ vận chuyển và thậm chí không biết điều đó!

Gia-cốp
nguồn
0

Điều này rất có thể nếu ứng dụng chạy trên 443 sử dụng thư viện tĩnh cho OpenSSL. Nếu đây là trường hợp, bạn phải cập nhật ứng dụng đó để không bị tổn thương nữa.

Nathan C
nguồn
0

Cuối cùng tôi đã có thể khắc phục vấn đề tương tự như OP. Máy chủ của tôi là một ngăn xếp LAMP từ Bitnami. Làm theo các hướng dẫn sau:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommends-lovebleed-patch/23530/9

Matt
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.