क्यों अप्राप्य-अपग्रेड हार्दिक बग को ठीक नहीं करता है?


20

मैंने अपने सर्वर पर स्वत: सुरक्षा अपडेट स्थापित करने के लिए अनुपयोगी-अपग्रेड स्थापित करने के निर्देश का पालन किया है (ubuntu server 13.10)।

https://help.ubuntu.com/community/AutomaticSecurityUpdates

क्या आप मुझे यह समझने में मदद कर सकते हैं कि आज सुबह मुझे अपने सर्वर पर हार्दिक बग क्यों है?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

अन्य सूचना:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

धन्यवाद


2
आपके सवाल का जवाब नहीं है, लेकिन इस में जवाब पर एक नज़र अपने ओएस को ठीक करने के लिए है askubuntu.com/questions/444817/am-i-affected-heartbleed-bug
अंगूठी Ø

मैं सहमत हूं कि आपके पास एक अद्यतन संस्करण होना चाहिए। मेरा 12.04 सर्वर स्वचालित अपडेट पर है और कल अपडेट किया गया था। आपने जांच की /var/log/apt/history.log?
जॉस

@ जोस मेरे पास मेरी /var/log/apt/history.log की सामग्री थी, यहाँ और कोई जानकारी नहीं है
Guillaume Vincent

जवाबों:


28

आपके सर्वर पर हार्टबल भेद्यता नहीं है, इस मुद्दे को (इसे अपग्रेड किए बिना) ठीक करने के लिए ओपनएसएसएल को पैच किया गया है।

आपने ओपनएसएसएल संस्करण आउटपुट में कई महत्वपूर्ण लाइनें छोड़ी हैं, आपको पता है कि यह पैच किया गया है, संस्करण संख्या के साथ नहीं:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

'बिल्ड ऑन' लाइन वही है जो यहां मायने रखती है। 7 अप्रैल या उसके बाद: आप अच्छे हैं। अन्यथा: आप मुसीबत में हैं।

अद्यतन करें, क्योंकि निर्माण की तारीख अच्छी नहीं लगती है:

हो सकता है कि अनअटेंडेड अपग्रेड अभी तक नहीं चला हो, मेरे सर्वर पर cron.daily में स्क्रिप्ट 6:25 पर चलने के लिए कॉन्फ़िगर की गई है

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

इसके अलावा, /etc/apt/apt.conf.d/10periodic की सामग्री की जाँच करें और जाँचें कि सुरक्षा अद्यतन स्थापित हैं:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

स्रोत: https://help.ubuntu.com/lts/serverguide/automatic-updates.html


1
मैं मुसीबत में हूँ :(built on: Wed Jan 8 20:58:47 UTC 2014 platform: debian-amd64
गिलियूम विंसेंट

बस चलाएं sudo apt-get update && sudo apt-get dist-upgradeऔर आपको अद्यतित होना चाहिए।
एड्ड टर्टल

धन्यवाद @EddTurtle, यह मेरा सवाल नहीं है! मेरा सवाल यह है कि स्वचालित अद्यतन काम क्यों नहीं करता है!
गिलियूम विंसेंट

मेरा /etc/apt/apt.conf.d/10periodic अच्छा नहीं था या शायद क्रॉन को सुबह 5 बजे कोई अपग्रेड नहीं मिला। साभार @ मैथ्यू-कोमांडन
विंसेंट

@guillaumevincent मैंने देखा कि अप्राप्य-अपग्रेड आपके द्वारा स्थापित किया गया अंतिम पैकेज था - इसलिए इसे कॉन्फ़िगरेशन समस्या होना चाहिए था।
जोस

12

सबसे पहले, आपको अपग्रेड करने की आवश्यकता है। अनअटेंडेड-अपग्रेड केवल एक दिन में एक बार चलता है, और यह ठीक होने के बाद से 1 दिन से भी कम हो गया है (2014-04-07 लगभग 20:00 बजे टीटी)। libssl1.0.0सॉसी के लिए, सुनिश्चित करें कि आपने संस्करण 1.0.1e-3ubuntu1.2 या अधिक से अपग्रेड किया है । (सटीक रूप से, संस्करण 1.0.1-4ubuntu5.12 संस्करण में आया था।)

अगला, ध्यान दें कि यह एक बहुत ही कमजोर भेद्यता है: इसने हमलावरों को आपके असुरक्षित सर्वर से कनेक्ट करके गोपनीय डेटा प्राप्त करने की अनुमति दी हो सकती है। यदि आप एक एसएसएल सर्वर चला रहे हैं, तो भेद्यता की घोषणा होने से थोड़ी देर पहले सर्वर की मेमोरी में मौजूद कोई भी डेटा लीक हो सकता है। इसमें विशेष रूप से सर्वर की एसएसएल निजी कुंजी शामिल है, इसलिए आपको एक नया जेनरेट करना चाहिए और पुराने को रद्द करना चाहिए।

अधिक जानकारी के लिए, ओपनएसएसएल में हार्टलेड बग (CVE-2014-0160) को कैसे पैच करें?


लगभग दो साल के लिए सर्वर मेमोरी में कुछ भी लीक हो सकता है, न कि केवल घोषणा के समय से।
घाट नं।

@ पियरेक्सी जो कुछ भी लंबे समय से सर्वर की मेमोरी में है, वह इस बात के लिए बहुत अधिक संभावना है कि यह आपको कई अन्य अटैक वैक्टर के बारे में भी चिंतित होना चाहिए। इसका अपवाद यह है कि अगर आप पहले से बग के बारे में जानते हैं और चुपचाप इसका फायदा उठा रहे हैं, तो सरकार के स्तर के विरोधी अच्छी तरह से जानते होंगे, यह सामान्य बदमाशों की संभावना नहीं है।
गिल्स एसओ- बुराई को रोकना '

7

आप आंतरिक संस्करण स्ट्रिंग्स पर भरोसा नहीं कर सकते। संस्करण कहता है 1.0.1eऔर बग 1.0.0f के माध्यम से प्रभावित करता है। क्या यह निर्धारित करने के लिए पर्याप्त है कि क्या आपके पास अभी भी ओपनसेल का एक कमजोर संस्करण है? नहीं, OpenSSL का आंतरिक संस्करण नहीं बदलता है, यहां तक ​​कि कुछ अपडेट भी लागू होते हैं। अपने संस्करण को मज़बूती से पहचानने का एकमात्र तरीका पैकेज प्रबंधक संस्करण का उपयोग करके apt-cache policyया अन्य उपकरण की तलाश में है:

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

जैसा कि आप देख सकते हैं, मेरा ओपनशेल का संस्करण बेहतर है, के माध्यम से प्रभावित होने के लिए प्रकट होता है, क्योंकि यह 1.0.1f है, अब अगर मैं चेंगलॉग्स की जांच करता हूं:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

हाँ, मैं अभी भी प्रभावित हूँ। सीवीई-2014-0160 के लिए चैंज में कोई संदर्भ नहीं है। लेकिन, मैं कोई एसएसएल / टीएसएल सेवा नहीं चला रहा हूं, इसलिए मैं इंतजार कर सकता हूं। मुझे अभी ओपनएसएसएल के इस संस्करण का उपयोग करके एसएसएल प्रमाणपत्र उत्पन्न करने की आवश्यकता नहीं है। यदि मैं करता हूं, तो मुझे सिर्फ गाइल्स सलाह का पालन करना होगा: सेवाओं को नीचे ले जाएं, प्रमाण पत्र को निरस्त करें, नए उत्पन्न करें।


नोट: "apt-cache changelog" मेरे लिए मान्य कमांड नहीं है, लेकिन "aptitude changelog" है।
कॉलिनएम

1
@ColinM क्षमा करें, उपयुक्त नहीं, उपयुक्त कैश, क्लिपबोर्ड समस्या नहीं थी।
ब्रीयम
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.