Neden katılımsız güncellemeler, heartbleed hatasını düzeltmiyor?


20

Sunucumda otomatik güvenlik güncellemeleri kurmak için katılımsız yükseltmeleri yükleme talimatını izledim (ubuntu sunucusu 13.10).

https://help.ubuntu.com/community/AutomaticSecurityUpdates

Bu sabah neden sunucumda hala heartbleed böceği olduğumu anlamama yardım eder misin?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

diğer bilgiler:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

teşekkür ederim


2
Sorunuzu yanıtlamadan, ancak işletim sistemi düzeltmek için bu cevabın bir göz değil askubuntu.com/questions/444817/am-i-affected-heartbleed-bug
Halka Ø

Güncellenmiş bir sürümün olması gerektiğini kabul ediyorum. 12.04 sunucum otomatik güncelleme halinde ve dün güncellendi. Kontrol ettin /var/log/apt/history.logmi
Jos

@jos /var/log/apt/history.log içeriğime sahiptim, burada daha fazla bilgi yok
Guillaume Vincent

Yanıtlar:


28

Sunucunuzda Heartbleed güvenlik açığı yoktur, bu sorunu gidermek için OpenSSL eklenmiştir (yükseltme yapmadan).

OpenSSL sürüm çıktısında birkaç önemli satır bıraktınız, sürüm numarasıyla değil yamanın ne olduğunu bildiğinizi biliyorsunuz:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

'Oluşturma' çizgisi burada önemli olan şeydir, 7 Nisan ya da sonrasında: siz iyisiniz. Aksi takdirde: başınız derttedir.

Güncelleme, oluşturma tarihi iyi görünmediğinden:

Belki katılımsız yükseltme henüz çalışmadı, sunucumda cron.daily'daki komut dosyaları saat 6: 25'te çalışacak şekilde yapılandırıldı

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Ayrıca, /etc/apt/apt.conf.d/10periodic içeriğini kontrol edin ve güvenlik güncellemelerinin yüklendiğini kontrol edin:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

Kaynak: https://help.ubuntu.com/lts/serverguide/automatic-updates.html


1
built on: Wed Jan 8 20:58:47 UTC 2014 platform: debian-amd64
Guillaume Vincent

Sadece koş sudo apt-get update && sudo apt-get dist-upgradeve güncel olmalısın.
Edd Turtle,

Teşekkür ederim @EddTurtle, bu benim sorum değil! Sorum şu ki neden otomatik güncelleme çalışmıyor?
Guillaume Vincent

/etc/apt/apt.conf.d/10periodic'im iyi değildi ya da belki de cron 5'te herhangi bir yükseltme bulamadı. Thank mat @ mathieu-comandon
Guillaume Vincent

@guillaumevincent Katılımsız yükseltmelerin en son yüklediğiniz paket olduğunu farkettim - bu nedenle bir yapılandırma sorunu olması gerekiyordu.
Jos

12

Öncelikle yükseltme işlemini yapmanız gerekir. Katılımsız yükseltmeler yalnızca günde bir kez yapılır ve düzeltmenin ortaya çıkmasından bu yana 1 günden az bir süre geçti (2014-04-07, 20:00 GMT civarında). libssl1.0.0Saucy için, sürüm 1.0.1e-3ubuntu1.2 ya da daha yeni bir sürüme yükselttiğinizden emin olun . (Kesin olarak, düzeltme 1.0.1-4ubuntu5.12 sürümünde geldi.)

Ardından, bunun çok kötü bir güvenlik açığı olduğunu unutmayın: Saldırganların güvenlik açığı bulunan sunucunuza bağlanarak gizli veriler edinmesine izin verebilir. Bir SSL sunucusu kullanıyorsanız, güvenlik açığının açıklanmasından çok az zaman önce sunucunun belleğindeki veriler sızdırılmış olabilir. Bu, özellikle sunucunun SSL özel anahtarını içerir, bu nedenle yeni bir tane oluşturmanız ve eskisini iptal etmeniz gerekir.

Daha fazla bilgi için, OpenSSL'de Heartbleed hatalarını (CVE-2014-0160) nasıl yamalayabilirim?


Sunucu belleğindeki yaklaşık iki yıl boyunca herhangi bir şey, yalnızca duyuru tarihinden itibaren değil, sızdırılmış olabilir.
pieroxy

pieroxy Sunucunun uzun süredir hafızasında yer alan herhangi bir şeyin, başka birçok saldırı vektörü için endişelenmeniz gereken noktaların üzerine yazılması oldukça muhtemeldir. Bunun istisnası, daha önce hatayı bilen ve sessizce kullanan rakip için endişeleniyorsanız - hükümet seviyesindeki rakipler de bilmiş olabilir, sıradan sahtekarların sahip olması muhtemel değildir.
Gilles 'SO- şeytan olmayı'

7

Dahili sürüm dizgilerine güvenemezsiniz. Sürüm söylüyor 1.0.1eve hata 1.0.0'dan 1.0.0f'a etki ediyor. Bu hala openssl'ın savunmasız bir sürümüne sahip olup olmadığınızı belirlemek için yeterli mi? Hayır. OpenSSL dahili sürümü değişmiyor, hatta bazı güncellemeler uygulanıyor. Sürümünüzü güvenilir bir şekilde tanımlamanın tek yolu, apt-cache policyveya başka bir araç kullanarak paket yöneticisi sürümüne bakmaktır:

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

Gördüğünüz gibi, openssl sürümüm üstündür, etkilenen görünmektedir, çünkü 1.0.1f olduğundan, şimdi değişiklikleri kontrol ediyorsam:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

Evet, hala etkileniyorum. Değişiklikte hiçbir CVE-2014-0160 referansı yoktur. Ancak, herhangi bir SSL / TSL hizmeti çalıştırmıyorum, bu yüzden bekleyebilirim. Sadece OpenSSL'nin bu sürümünü kullanarak SSL sertifikaları oluşturmak zorunda değilim. Eğer yaparsam, Gilles tavsiyesine uymam gerekiyor: hizmetleri al, sertifikayı iptal et, yenilerini üret.


Not: "apt-cache changelog" benim için geçerli bir komut değil, "yetenek changelog" dır.
ColinM

1
@ColinM üzgünüm, apt-get, apt-cache değil, pano problemi.
Braiam
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.