क्यों अप्राप्य-अपग्रेड हार्दिक बग को ठीक नहीं करता है?

मैंने अपने सर्वर पर स्वत: सुरक्षा अपडेट स्थापित करने के लिए अनुपयोगी-अपग्रेड स्थापित करने के निर्देश का पालन किया है (ubuntu server 13.10)।

https://help.ubuntu.com/community/AutomaticSecurityUpdates

क्या आप मुझे यह समझने में मदद कर सकते हैं कि आज सुबह मुझे अपने सर्वर पर हार्दिक बग क्यों है?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

अन्य सूचना:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

धन्यवाद

आपके सर्वर पर हार्टबल भेद्यता नहीं है, इस मुद्दे को (इसे अपग्रेड किए बिना) ठीक करने के लिए ओपनएसएसएल को पैच किया गया है।

आपने ओपनएसएसएल संस्करण आउटपुट में कई महत्वपूर्ण लाइनें छोड़ी हैं, आपको पता है कि यह पैच किया गया है, संस्करण संख्या के साथ नहीं:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

'बिल्ड ऑन' लाइन वही है जो यहां मायने रखती है। 7 अप्रैल या उसके बाद: आप अच्छे हैं। अन्यथा: आप मुसीबत में हैं।

अद्यतन करें, क्योंकि निर्माण की तारीख अच्छी नहीं लगती है:

हो सकता है कि अनअटेंडेड अपग्रेड अभी तक नहीं चला हो, मेरे सर्वर पर cron.daily में स्क्रिप्ट 6:25 पर चलने के लिए कॉन्फ़िगर की गई है

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

इसके अलावा, /etc/apt/apt.conf.d/10periodic की सामग्री की जाँच करें और जाँचें कि सुरक्षा अद्यतन स्थापित हैं:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

स्रोत: https://help.ubuntu.com/lts/serverguide/automatic-updates.html

सबसे पहले, आपको अपग्रेड करने की आवश्यकता है। अनअटेंडेड-अपग्रेड केवल एक दिन में एक बार चलता है, और यह ठीक होने के बाद से 1 दिन से भी कम हो गया है (2014-04-07 लगभग 20:00 बजे टीटी)। libssl1.0.0सॉसी के लिए, सुनिश्चित करें कि आपने संस्करण 1.0.1e-3ubuntu1.2 या अधिक से अपग्रेड किया है । (सटीक रूप से, संस्करण 1.0.1-4ubuntu5.12 संस्करण में आया था।)

अगला, ध्यान दें कि यह एक बहुत ही कमजोर भेद्यता है: इसने हमलावरों को आपके असुरक्षित सर्वर से कनेक्ट करके गोपनीय डेटा प्राप्त करने की अनुमति दी हो सकती है। यदि आप एक एसएसएल सर्वर चला रहे हैं, तो भेद्यता की घोषणा होने से थोड़ी देर पहले सर्वर की मेमोरी में मौजूद कोई भी डेटा लीक हो सकता है। इसमें विशेष रूप से सर्वर की एसएसएल निजी कुंजी शामिल है, इसलिए आपको एक नया जेनरेट करना चाहिए और पुराने को रद्द करना चाहिए।

अधिक जानकारी के लिए, ओपनएसएसएल में हार्टलेड बग (CVE-2014-0160) को कैसे पैच करें?

आप आंतरिक संस्करण स्ट्रिंग्स पर भरोसा नहीं कर सकते। संस्करण कहता है 1.0.1eऔर बग 1.0.0f के माध्यम से प्रभावित करता है। क्या यह निर्धारित करने के लिए पर्याप्त है कि क्या आपके पास अभी भी ओपनसेल का एक कमजोर संस्करण है? नहीं, OpenSSL का आंतरिक संस्करण नहीं बदलता है, यहां तक ​​कि कुछ अपडेट भी लागू होते हैं। अपने संस्करण को मज़बूती से पहचानने का एकमात्र तरीका पैकेज प्रबंधक संस्करण का उपयोग करके apt-cache policyया अन्य उपकरण की तलाश में है:

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

जैसा कि आप देख सकते हैं, मेरा ओपनशेल का संस्करण बेहतर है, के माध्यम से प्रभावित होने के लिए प्रकट होता है, क्योंकि यह 1.0.1f है, अब अगर मैं चेंगलॉग्स की जांच करता हूं:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

हाँ, मैं अभी भी प्रभावित हूँ। सीवीई-2014-0160 के लिए चैंज में कोई संदर्भ नहीं है। लेकिन, मैं कोई एसएसएल / टीएसएल सेवा नहीं चला रहा हूं, इसलिए मैं इंतजार कर सकता हूं। मुझे अभी ओपनएसएसएल के इस संस्करण का उपयोग करके एसएसएल प्रमाणपत्र उत्पन्न करने की आवश्यकता नहीं है। यदि मैं करता हूं, तो मुझे सिर्फ गाइल्स सलाह का पालन करना होगा: सेवाओं को नीचे ले जाएं, प्रमाण पत्र को निरस्त करें, नए उत्पन्न करें।