Tại sao nâng cấp không giám sát không sửa lỗi lỗi?


20

Tôi đã làm theo hướng dẫn để cài đặt các bản nâng cấp không giám sát để cài đặt các bản cập nhật bảo mật tự động trên máy chủ của tôi (máy chủ ub Ubuntu 13.10).

https://help.ubfox.com/community/AutomaticSecurityUpdates

Bạn có thể giúp tôi hiểu tại sao sáng nay tôi vẫn gặp lỗi ở máy chủ không?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

thông tin khác:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

Cảm ơn bạn


2
Không trả lời câu hỏi của bạn, nhưng hãy xem câu trả lời trong phần này để sửa lỗi hệ điều hành của bạn Askubfox.com/questions/444817/am-i-affected-lovebleed-orms
Ring

Tôi đồng ý rằng bạn nên có một phiên bản cập nhật. Máy chủ 12.04 của tôi được cập nhật tự động và được cập nhật vào ngày hôm qua. Bạn đã kiểm tra /var/log/apt/history.logchưa?
Jos

@jos Tôi đã có nội dung của /var/log/apt/history.log, không có thêm thông tin ở đây
Guillaume Vincent

Câu trả lời:


28

Bạn không có lỗ hổng Heartbleed trên máy chủ của mình, OpenSSL đã được vá để khắc phục sự cố này (mà không nâng cấp nó).

Bạn đã bỏ qua một số dòng quan trọng trong đầu ra phiên bản OpenSSL, đó là cách bạn biết nó đã được vá, không phải với số phiên bản:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Dòng 'xây dựng trên' là điều quan trọng ở đây, ngày 7 tháng Tư hoặc sau đó: bạn ổn. Mặt khác: bạn đang gặp rắc rối.

Cập nhật, vì ngày xây dựng có vẻ không tốt:

Có thể bản nâng cấp không giám sát chưa chạy, trên máy chủ của tôi, các tập lệnh trong cron.d Daily được định cấu hình để chạy ở 6:25

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Ngoài ra, hãy kiểm tra nội dung của /etc/apt/apt.conf.d/10 periodic và kiểm tra xem các bản cập nhật bảo mật đã được cài đặt chưa:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

Nguồn: https://help.ubfox.com/lts/serverguide/automatic-updates.html


1
Tôi đang gặp rắc rối :(built on: Wed Jan 8 20:58:47 UTC 2014 platform: debian-amd64
Guillaume Vincent

chỉ cần chạy sudo apt-get update && sudo apt-get dist-upgradevà bạn sẽ được cập nhật.
Edd Rùa

Cảm ơn bạn @EddTurtle, đây không phải là câu hỏi của tôi! Câu hỏi của tôi là tại sao cập nhật tự động không hoạt động!
Guillaume Vincent

/etc/apt/apt.conf.d/10 periodic không tốt hoặc có thể cron không tìm thấy bất kỳ nâng cấp nào vào lúc 5 giờ sáng. Cảm ơn bạn @ mathieu-comandon
Guillaume Vincent

@guillaumevincent Tôi chỉ nhận thấy rằng các bản nâng cấp không giám sát là gói cuối cùng bạn đã cài đặt - vì vậy nó phải là một vấn đề cấu hình.
Jos

12

Đầu tiên, bạn cần thực hiện nâng cấp. Nâng cấp không giám sát chỉ chạy một lần một ngày và chưa đến 1 ngày kể từ khi bản sửa lỗi xuất hiện (2014-04-07 khoảng 20:00 GMT). Để tiết kiệm, hãy đảm bảo rằng bạn đã nâng cấp lên libssl1.0.0phiên bản 1.0.1e-3ubfox1.2 trở lên. (Chính xác, bản sửa lỗi đã có trong phiên bản 1.0.1-4ubfox5.12.)

Tiếp theo, lưu ý rằng đây là một lỗ hổng rất xấu: nó có thể đã cho phép kẻ tấn công lấy dữ liệu bí mật bằng cách kết nối với máy chủ dễ bị tổn thương của bạn. Nếu bạn đang chạy máy chủ SSL, thì mọi dữ liệu trong bộ nhớ của máy chủ từ một chút trước khi lỗ hổng được công bố có thể đã bị rò rỉ. Đặc biệt, bao gồm khóa riêng SSL của máy chủ, vì vậy bạn nên tạo một khóa mới và thu hồi khóa cũ.

Để biết thêm thông tin, hãy xem Cách vá lỗi Heartbleed (CVE-2014-0160) trong OpenSSL?


Bất cứ điều gì trong bộ nhớ máy chủ trong khoảng hai năm có thể đã bị rò rỉ, không chỉ từ thời điểm thông báo.
pieroxy

@pieroxy Bất cứ thứ gì có trong bộ nhớ của máy chủ trong một thời gian dài rất có khả năng đã bị ghi đè, đến mức bạn cũng nên lo lắng về nhiều vectơ tấn công khác. Ngoại lệ là nếu bạn lo lắng về kẻ thù có thể đã biết về lỗi này sớm hơn và khai thác nó một cách lặng lẽ - những kẻ thù cấp chính phủ có thể đã biết, không chắc kẻ gian thông thường sẽ có.
Gilles 'SO- ngừng trở nên xấu xa'

7

Bạn không thể tin tưởng vào chuỗi phiên bản nội bộ. Phiên bản cho biết 1.0.1evà lỗi ảnh hưởng từ 1.0.0 đến 1.0.0f. Điều này có đủ để xác định xem bạn có còn phiên bản openssl dễ bị tấn công không? Không. Phiên bản nội bộ OpenSSL không thay đổi, thậm chí có một số cập nhật được áp dụng. Cách duy nhất để xác định đáng tin cậy phiên bản của bạn là tìm đến phiên bản trình quản lý gói bằng cách sử dụng apt-cache policyhoặc công cụ khác:

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

Như bạn có thể thấy, phiên bản openssl của tôi là vượt trội, dường như bị ảnh hưởng, vì nó là 1.0.1f, bây giờ nếu tôi kiểm tra các thay đổi:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

Vâng, tôi vẫn bị ảnh hưởng. Không có tài liệu tham khảo nào về CVE-2014-0160 trong thay đổi nào. Nhưng, tôi không chạy bất kỳ dịch vụ SSL / TSL nào, vì vậy tôi có thể đợi. Tôi không phải tạo chứng chỉ SSL bằng phiên bản OpenSSL này. Nếu tôi làm, tôi chỉ cần làm theo lời khuyên của Gilles: gỡ bỏ các dịch vụ, thu hồi chứng chỉ, tạo các chứng chỉ mới.


Lưu ý: "apt-cache changelog" không phải là một lệnh hợp lệ đối với tôi, nhưng "thay đổi aptitude" là.
ColinM

1
@ColinM xin lỗi, là apt-get, không phải apt-cache, clipboard.
Braiam
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.