5 votes

fry avatar

La mise à jour de la bibliothèque SSL ne corrige pas le problème de Heartbleed

Demandé el 1 de Mai, 2014
Quand la question a-t-elle été
1217 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je viens de mettre à jour la bibliothèque openssl sur mon serveur Ubuntu 12.04 pour corriger le bug heartbleed. Voici le résultat que j'obtiens avec la commande "openssl version -a" :

OpenSSL 1.0.0g 18 Jan 2012
built on: Fri Apr 11 09:20:16 UTC 2014
platform: linux-x86_64
options:  bn(64,64) rc4(8x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--    noexecstack -m64 -DL_ENDIAN -DTERMIO -O3 -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DWHIRLPOOL_ASM
OPENSSLDIR: "/usr/local/ssl"

D'après ce que je comprends, la date "built on" doit être postérieure au 07 avr, 2014, ce qui semble être le cas ici. J'ai redémarré Apache après avoir effectué ces modifications, mais je vois toujours que mon site Web est vulnérable au bogue Heartbleed.

Est-ce que je rate quelque chose ici ?

J'ai mis à jour la bibliothèque ssl en téléchargeant le dernier code source et en le compilant/installant.

[Mise à jour] Après les commentaires de Stephan ci-dessous, j'ai directement mis à jour l'openssl en utilisant apt-get. J'ai également mis à jour mon PATH pour pointer vers la librairie openssl nouvellement mise à jour.

Voici ce que je vois lorsque je fais "openssl version -a".

OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr  7 20:33:29 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(8x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Comme indiqué dans "built on", la librairie a été mise à jour avec le dernier patch du 7 avril. Cependant, mon site Web est toujours vulnérable à Heartbleed.

Merci de m'aider !

Demandé el 1 de Mai, 2014 par fry

Réponses

Trop de publicités?

13voto

Stefan Lasiewski avatar
Stefan Lasiewski Points 22459

Le moyen le plus simple et le plus rapide de se protéger contre Heartbleed est de mettre à jour OpenSSL à partir des paquets binaires fournis par le vendeur. Ne compilez pas à partir des sources, sauf si vous savez ce que vous faites ou si vous voulez passer beaucoup plus de temps à apprendre. La compilation à partir des sources est plus difficile et constitue une perte de temps si vous n'avez besoin que de mettre à jour un logiciel. Cela peut être éducatif et instructif.

OpenSSL 1.0.0g 18 Jan 2012
built on: Fri Apr 11 09:20:16 UTC 2014

Quelque chose ne va pas ici. Vous voulez 1.0.1g pas 1.0.0g. Mais Heartbleed est seulement un problème dans OpenSSL 1.0.1 et 1.0.2. OpenSSL 1.0.0 n'était pas vulnérable. Avez-vous téléchargé d'anciens fichiers sources ? Notez que Ubuntu ne rapporte pas toujours avec précision la version d'OpenSSL, et vous devez également mettre à jour libssl.

D'après ce que je comprends, la date de construction doit être postérieure au 7 avril 2014, ce qui semble être le cas ici.

Non, regarde encore. Votre date "built on" est "Apr 11 09:20:16 UTC 2014". Est-ce la date à laquelle vous avez compilé cette source ?

Notez que si vous construisez à partir des sources, vous devez appliquer les drapeaux corrects. Lisez l'avis de sécurité à http://www.openssl.org/news/secadv_20140407.txt

Les utilisateurs concernés doivent effectuer une mise à niveau vers OpenSSL 1.0.1g. Les utilisateurs qui ne peuvent pas mettre à jour immédiatement peuvent alternativement recompiler OpenSSL avec la commande -DOPENSSL_NO_HEARTBEATS.

Répondu el 1 de Mai, 2014 par Stefan Lasiewski (22459 Points )

3voto

Steffen Ullrich avatar
Steffen Ullrich Points 11972

Comme vous n'avez pas supprimé la version vulnérable d'OpenSSL, elle est toujours présente sur le système. Votre nouvelle installation n'a pas remplacé les fichiers, mais en a ajouté de nouveaux. Comme les applications existantes étaient liées à l'ancienne bibliothèque, elles peuvent continuer à l'utiliser. Il est donc préférable de mettre à jour votre système de la manière habituelle, car des bibliothèques corrigées sont disponibles pour celui-ci.

Répondu el 1 de Mai, 2014 par Steffen Ullrich (11972 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X