OpenSSL को अपडेट करने के बाद भी मेरा सर्वर हार्दिक रूप से कमजोर है

28

मेरे पास एक Ubuntu 12.04 सर्वर है। मैंने OpenSSLहार्दिक भेद्यता को ठीक करने के लिए पैकेज को अपडेट किया है। लेकिन मैं अभी भी असुरक्षित हूं, भले ही मैंने वेब सर्वर, और यहां तक ​​कि पूरे सर्वर को पुनरारंभ किया हो।

मेरी भेद्यता की जाँच करने के लिए मैंने इसका इस्तेमाल किया:

dpkg देता है:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(Launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

ubuntu  nginx  security  openssl  heartbleed 
user3301260
स्रोत
का आउटपुट openssl version -a?
नाथन सी
मैं 12.04 सर्वर (nginx के साथ) चला रहा हूं। मेरा स्वचालित रूप से सुरक्षा अद्यतन स्थापित करने के लिए सेटअप है और जब मैं पायथन स्क्रिप्ट चलाता हूं तो यह असुरक्षित नहीं कहती है। क्या आपने पैकेज रिपॉजिटरी से या मैन्युअल रूप से nginx स्थापित किया था?
मिकोज़ो
1
आप इस बंदरगाह पर क्या चला रहे हैं? यदि यह एक 3 पार्टी ऐप है, तो आपके पास एक स्थिर पुस्तकालय हो सकता है
नाथन सी

जवाबों:

29

सुनिश्चित करें कि libssl1.0.0पैकेज को भी अपडेट किया गया है (उस पैकेज में वास्तविक पुस्तकालय है, opensslपैकेज में उपकरण शामिल हैं) और यह कि अपग्रेड के बाद लाइब्रेरी का उपयोग करने वाली सभी सेवाओं को फिर से शुरू किया गया है।

आपको ओपनस्एल (सेवा अपाचे पुनरारंभ) का उपयोग करके सभी सेवाओं को फिर से चलाना है।

हाकन लिंडक्विस्ट
स्रोत
4
अपने पुराने, अब-बदले हुए libssl के उपयोग की सेवाओं की सूची प्राप्त करने के लिए, कोशिश करें: "lsof -n | grep ssl | grep DEL"। या, यदि आप सुपर-पैरानॉयड हैं, तो आप libssl के किसी भी संस्करण का उपयोग करके सब कुछ की एक सूची प्राप्त कर सकते हैं: "lof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake
3

यह संभव है कि आप एक गलत सकारात्मक मामला है, प्रति प्रश्न :

मैं झूठी सकारात्मक (लाल) हो रही हूँ!

सावधान रहें, जब तक कि आप बटन को दबाने वाली साइट को गड़बड़ नहीं करते हैं, ऐसा कोई तरीका नहीं है जो मैं सोच सकता हूं कि लाल एक लाल नहीं है।

मेमोरी डंप की जांच करें, अगर यह वहां है तो टूल कहीं से मिल गया।

मान लीजिए कि मैं 99% निश्चित हूं कि आपको सही ढंग से अपडेट करने के बाद सभी प्रक्रियाओं को फिर से शुरू करने पर बेहतर दिखना चाहिए।

अपडेट: फिर भी, मुझे अप्रभावित संस्करणों के लाल होने की लगातार रिपोर्ट मिल रही है। यदि आप प्रभावित हैं तो कृपया इस मुद्दे पर टिप्पणी करें । मैं 3 चीजों की तलाश कर रहा हूं: मेमोरी डंप (यह पता लगाने के लिए कि वे कहां से आए थे), टाइमस्टैम्प (जितना संभव हो उतना सटीक, नेटवर्क टैब के साथ प्रयास करें), जो आपने क्लिक किया और टाइप किया, उसका पूरा विवरण।

आप SSLLabs जैसे अन्य उपकरण का उपयोग करके अपनी साइट का परीक्षण कर सकते हैं , और देखें कि क्या आप अभी भी असुरक्षित के रूप में रिपोर्ट किए गए हैं।
आपको उपरोक्त वर्णित http://filippo.io/Heartbleed परीक्षक के साथ समस्या की रिपोर्ट करनी चाहिए ।

voretaq7
स्रोत
ऊपर असुरक्षित के रूप में SSLLabs का उपयोग कर Heartbleed के लिए आया था
मैट
@ मैट आपको वास्तव में एक समस्या हो सकती है - मेमोरी डंप की जांच करें (क्या आप एक हो रहे हैं?) और filippo.io टूल के पीछे अच्छे लोगों के साथ हुक अप करें।
voretaq7
2

यदि आप mod_spdy चलाते हैं तो सुनिश्चित करें कि आप अपने mod_spdy इंस्टॉल को अपडेट करते हैं। देखें https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU जानकारी के लिए। आपको या तो mod_spdy डिबेट को अपग्रेड करना होगा या पिछले संस्करण को पूरी तरह से हटाना होगा।

lewing
स्रोत
2

संभवतः आपके पास 443 पर एक कार्यक्रम सुनने की संभावना है जिसमें एक स्थैतिक रूप से जुड़ा हुआ ओपनसेल पुस्तकालय है। इसका मतलब है कि इस कार्यक्रम का अपना स्वयं का ओपन पैक है - इस कार्यक्रम को भी अपडेट करें! यदि कोई उपलब्ध नहीं है, तो विक्रेता को तुरंत सूचित करें और यदि संभव हो तो इस एप्लिकेशन को निलंबित कर दें!

नाथन सी
स्रोत
2

यह संभव है कि आप FAQ पृष्ठ पर सूचीबद्ध बग का अनुभव कर रहे हों । ऐसा प्रतीत होता है कि कुछ परिस्थितियों में आप एक पैच किए गए सिस्टम पर भी एक असुरक्षित अधिसूचना प्राप्त कर सकते हैं।

मैं झूठी सकारात्मक (लाल) हो रही हूँ!

सावधान रहें, जब तक कि आप बटन को दबाने वाली साइट को गड़बड़ नहीं करते हैं, ऐसा कोई तरीका नहीं है जो मैं सोच सकता हूं कि लाल एक लाल नहीं है। मेमोरी डंप की जांच करें, अगर यह वहां है तो टूल कहीं से मिल गया। मान लीजिए कि मैं 99% निश्चित हूं कि आपको सही ढंग से अपडेट करने के बाद सभी प्रक्रियाओं को फिर से शुरू करने पर बेहतर दिखना चाहिए।

अपडेट: फिर भी, मुझे अप्रभावित संस्करणों के लाल होने की लगातार रिपोर्ट मिल रही है। यदि आप प्रभावित हैं तो कृपया इस मुद्दे पर टिप्पणी करें। मैं 3 चीजों की तलाश कर रहा हूं: मेमोरी डंप (यह पता लगाने के लिए कि वे कहां से आए थे), टाइमस्टैम्प (जितना संभव हो उतना सटीक, नेटवर्क टैब के साथ प्रयास करें), जो आपने क्लिक किया और टाइप किया, उसका पूरा विवरण।

मैं यह सुनिश्चित करने के लिए कि आपके सिस्टम अब असुरक्षित नहीं है, इस बात की पुष्टि करने के लिए Qualys जैसे वैकल्पिक परीक्षण के साथ परीक्षण का सुझाव देंगे । यदि यह Github के लिए सिर नहीं है और यह रिपोर्ट करता है।

यह अभी भी टूटा हुआ है

क्या है? जिस "सर्वर" के बारे में आप बात करते हैं, उसमें स्टैटिक लिंक्ड ओपनएसएसएल लाइब्रेरी हो सकती है। इसका मतलब यह है कि भले ही आपने अपने सिस्टम को अपडेट किया हो लेकिन आपका आवेदन अभी भी खतरे में है! आपको पैच प्राप्त करने या सेवा को बंद करने के लिए सॉफ़्टवेयर विक्रेता से तुरंत बात करने की आवश्यकता है।

पैच आउट होने तक क्या मुझे वास्तव में सेवा को अक्षम करना होगा?

हां, एक असुरक्षित सेवा चलाना, संभावित लापरवाही के बिंदु के लिए बेहद खतरनाक है! आप किसी भी डेटा को लीक कर सकते हैं जो सर्वर परिवहन से कम हो जाता है और उसे पता भी नहीं चलता है!

याकूब
स्रोत
0

यह बहुत संभव है अगर 443 पर चल रहा एप्लिकेशन ओपनएसएसएल के लिए एक स्थिर पुस्तकालय का उपयोग करता है। यदि यह मामला है, तो आपको उस एप्लिकेशन को अपडेट करना होगा जो अब असुरक्षित न हो।

नाथन सी
स्रोत
0

मैं अंततः ओपी के समान अपने मुद्दे को ठीक करने में सक्षम था। मेरा सर्वर Bitnami से एक LAMP स्टैक है। इन निर्देशों का पालन करें:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

मैट
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.