Tại sao nâng cấp không giám sát không sửa lỗi lỗi?

Tôi đã làm theo hướng dẫn để cài đặt các bản nâng cấp không giám sát để cài đặt các bản cập nhật bảo mật tự động trên máy chủ của tôi (máy chủ ub Ubuntu 13.10).

https://help.ubfox.com/community/AutomaticSecurityUpdates

Bạn có thể giúp tôi hiểu tại sao sáng nay tôi vẫn gặp lỗi ở máy chủ không?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

thông tin khác:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

Cảm ơn bạn

Bạn không có lỗ hổng Heartbleed trên máy chủ của mình, OpenSSL đã được vá để khắc phục sự cố này (mà không nâng cấp nó).

Bạn đã bỏ qua một số dòng quan trọng trong đầu ra phiên bản OpenSSL, đó là cách bạn biết nó đã được vá, không phải với số phiên bản:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Dòng 'xây dựng trên' là điều quan trọng ở đây, ngày 7 tháng Tư hoặc sau đó: bạn ổn. Mặt khác: bạn đang gặp rắc rối.

Cập nhật, vì ngày xây dựng có vẻ không tốt:

Có thể bản nâng cấp không giám sát chưa chạy, trên máy chủ của tôi, các tập lệnh trong cron.d Daily được định cấu hình để chạy ở 6:25

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Ngoài ra, hãy kiểm tra nội dung của /etc/apt/apt.conf.d/10 periodic và kiểm tra xem các bản cập nhật bảo mật đã được cài đặt chưa:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

Nguồn: https://help.ubfox.com/lts/serverguide/automatic-updates.html

Đầu tiên, bạn cần thực hiện nâng cấp. Nâng cấp không giám sát chỉ chạy một lần một ngày và chưa đến 1 ngày kể từ khi bản sửa lỗi xuất hiện (2014-04-07 khoảng 20:00 GMT). Để tiết kiệm, hãy đảm bảo rằng bạn đã nâng cấp lên libssl1.0.0phiên bản 1.0.1e-3ubfox1.2 trở lên. (Chính xác, bản sửa lỗi đã có trong phiên bản 1.0.1-4ubfox5.12.)

Tiếp theo, lưu ý rằng đây là một lỗ hổng rất xấu: nó có thể đã cho phép kẻ tấn công lấy dữ liệu bí mật bằng cách kết nối với máy chủ dễ bị tổn thương của bạn. Nếu bạn đang chạy máy chủ SSL, thì mọi dữ liệu trong bộ nhớ của máy chủ từ một chút trước khi lỗ hổng được công bố có thể đã bị rò rỉ. Đặc biệt, bao gồm khóa riêng SSL của máy chủ, vì vậy bạn nên tạo một khóa mới và thu hồi khóa cũ.

Để biết thêm thông tin, hãy xem Cách vá lỗi Heartbleed (CVE-2014-0160) trong OpenSSL?

Bạn không thể tin tưởng vào chuỗi phiên bản nội bộ. Phiên bản cho biết 1.0.1evà lỗi ảnh hưởng từ 1.0.0 đến 1.0.0f. Điều này có đủ để xác định xem bạn có còn phiên bản openssl dễ bị tấn công không? Không. Phiên bản nội bộ OpenSSL không thay đổi, thậm chí có một số cập nhật được áp dụng. Cách duy nhất để xác định đáng tin cậy phiên bản của bạn là tìm đến phiên bản trình quản lý gói bằng cách sử dụng apt-cache policyhoặc công cụ khác:

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

Như bạn có thể thấy, phiên bản openssl của tôi là vượt trội, dường như bị ảnh hưởng, vì nó là 1.0.1f, bây giờ nếu tôi kiểm tra các thay đổi:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

Vâng, tôi vẫn bị ảnh hưởng. Không có tài liệu tham khảo nào về CVE-2014-0160 trong thay đổi nào. Nhưng, tôi không chạy bất kỳ dịch vụ SSL / TSL nào, vì vậy tôi có thể đợi. Tôi không phải tạo chứng chỉ SSL bằng phiên bản OpenSSL này. Nếu tôi làm, tôi chỉ cần làm theo lời khuyên của Gilles: gỡ bỏ các dịch vụ, thu hồi chứng chỉ, tạo các chứng chỉ mới.