Neden katılımsız güncellemeler, heartbleed hatasını düzeltmiyor?

Sunucumda otomatik güvenlik güncellemeleri kurmak için katılımsız yükseltmeleri yükleme talimatını izledim (ubuntu sunucusu 13.10).

https://help.ubuntu.com/community/AutomaticSecurityUpdates

Bu sabah neden sunucumda hala heartbleed böceği olduğumu anlamama yardım eder misin?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

diğer bilgiler:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

teşekkür ederim

Sunucunuzda Heartbleed güvenlik açığı yoktur, bu sorunu gidermek için OpenSSL eklenmiştir (yükseltme yapmadan).

OpenSSL sürüm çıktısında birkaç önemli satır bıraktınız, sürüm numarasıyla değil yamanın ne olduğunu bildiğinizi biliyorsunuz:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

'Oluşturma' çizgisi burada önemli olan şeydir, 7 Nisan ya da sonrasında: siz iyisiniz. Aksi takdirde: başınız derttedir.

Güncelleme, oluşturma tarihi iyi görünmediğinden:

Belki katılımsız yükseltme henüz çalışmadı, sunucumda cron.daily'daki komut dosyaları saat 6: 25'te çalışacak şekilde yapılandırıldı

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Ayrıca, /etc/apt/apt.conf.d/10periodic içeriğini kontrol edin ve güvenlik güncellemelerinin yüklendiğini kontrol edin:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

Kaynak: https://help.ubuntu.com/lts/serverguide/automatic-updates.html

Öncelikle yükseltme işlemini yapmanız gerekir. Katılımsız yükseltmeler yalnızca günde bir kez yapılır ve düzeltmenin ortaya çıkmasından bu yana 1 günden az bir süre geçti (2014-04-07, 20:00 GMT civarında). libssl1.0.0Saucy için, sürüm 1.0.1e-3ubuntu1.2 ya da daha yeni bir sürüme yükselttiğinizden emin olun . (Kesin olarak, düzeltme 1.0.1-4ubuntu5.12 sürümünde geldi.)

Ardından, bunun çok kötü bir güvenlik açığı olduğunu unutmayın: Saldırganların güvenlik açığı bulunan sunucunuza bağlanarak gizli veriler edinmesine izin verebilir. Bir SSL sunucusu kullanıyorsanız, güvenlik açığının açıklanmasından çok az zaman önce sunucunun belleğindeki veriler sızdırılmış olabilir. Bu, özellikle sunucunun SSL özel anahtarını içerir, bu nedenle yeni bir tane oluşturmanız ve eskisini iptal etmeniz gerekir.

Daha fazla bilgi için, OpenSSL'de Heartbleed hatalarını (CVE-2014-0160) nasıl yamalayabilirim?

Dahili sürüm dizgilerine güvenemezsiniz. Sürüm söylüyor 1.0.1eve hata 1.0.0'dan 1.0.0f'a etki ediyor. Bu hala openssl'ın savunmasız bir sürümüne sahip olup olmadığınızı belirlemek için yeterli mi? Hayır. OpenSSL dahili sürümü değişmiyor, hatta bazı güncellemeler uygulanıyor. Sürümünüzü güvenilir bir şekilde tanımlamanın tek yolu, apt-cache policyveya başka bir araç kullanarak paket yöneticisi sürümüne bakmaktır:

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

Gördüğünüz gibi, openssl sürümüm üstündür, etkilenen görünmektedir, çünkü 1.0.1f olduğundan, şimdi değişiklikleri kontrol ediyorsam:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

Evet, hala etkileniyorum. Değişiklikte hiçbir CVE-2014-0160 referansı yoktur. Ancak, herhangi bir SSL / TSL hizmeti çalıştırmıyorum, bu yüzden bekleyebilirim. Sadece OpenSSL'nin bu sürümünü kullanarak SSL sertifikaları oluşturmak zorunda değilim. Eğer yaparsam, Gilles tavsiyesine uymam gerekiyor: hizmetleri al, sertifikayı iptal et, yenilerini üret.