blog.serverclub.ru
Блог компании ServerClub

Heartbleed, рекомендации к лечению.

23 июня 2014 г. Просмотров: 1137 RSS Обсудить

О чем ?

Уязвимости в OpenSSL Heartbleed присвоен номер CVE-2014-0160. В этой криптографической библиотеке она возникла в следствии ошибки программистов и долгое время о ней никто не подозревал. Heartbleed позволяет атакующему получить логины, пароли, реквизиты банковский карт и другую конфиденциальную информацию. При этом нет необходимости прослушивать канал связи, достаточно послать специально сформированный пакет, и это не обнаруживается в логах сервера.

Проверяем

Для проверки Вашего серверa воспользуйтесь следующими веб ресурсами:

  1. http://filippo.io/Heartbleed/
  2. http://www.ssllabs.com/ssltest/
  3. http://rehmann.co/projects/heartbeat/
  4. http://possible.lv/tools/hb/

Ресурс http://reverseheartbleed.com подскажет подвержен ли уязвимости Ваш компьютер.

Владельцы устройств на ОС Android могут протестировать свои девайсы используя специальной приложение из Google Play.

Какие версии OpenSSL подвержены/не подвержены уязвимости

  • OpenSSL с 1.0.1 по 1.0.1f (inclusive) - подвержена
  • OpenSSL 1.0.1g - не подвержена
  • OpenSSL 1.0.0 - не подвержена
  • OpenSSL 0.9.8 - не подвержена

Какие ОС содержат/не содержат уязвимые версии OpenSSL

Содержат:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) и 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Не содержат:

  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
  • FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
  • Windows - нет OpenSSL
  • MacOS - старая версия OpenSSL

Обновляем систему

Debian/Ubuntu:

# aptitude update
# aptitude -VR full-upgrade

После этого полностью перезапустить сервисы, которые используют TLS. Установщик обновления предложит перезапустить автоматически, или можно вручную:

# service nginx restart
# service apache2 restart

Полный список сервисов, которые нуждаются в перезапуске и могут быть уязвимы:

# lsof -n | grep -iE 'del.*(libssl\.so|libcrypto\.so)'
или
# checkrestart

Если не уверены, лучше полностью перезагрузить сервер.

Проверка версии:

# dpkg -l | grep -i openssl
# aptitude changelog openssl

CentOS, RedHat, Fedora:

# yum update

После этого полностью перезапустить сервисы, которые используют TLS, например:

# service nginx restart
# service httpd restart

Полный список сервисов, которые нуждаются в перезапуске и могут быть уязвимы:

# lsof -n | grep -iE 'del.*(libssl\.so|libcrypto\.so)'
или
# needs-restarting

Если не уверены, лучше полностью перезагрузить сервер.

Проверка версии:

# yum list openssl
# rpm -q --changelog openss

FreeBSD:

# freebsd-update fetch
# freebsd-update install

После этого полностью перезапустить сервисы, которые используют TLS, например:

# service nginx restart
# service apache22 restart

Если не уверены, лучше полностью перезагрузить сервер.

Проверка версии:

# freebsd-version

Заключение

Если Вы еще не проверяли Ваш сайт на наличие данной уязвимости, то советуем сделать это незамедлительно. При обнаружении Heartbleed, для обновления, воспользуйтесь инструкциями выше.

Клиентам ServerClub, как и всегда, достаточно создать обращение в личном кабинете. Наши инженеры всегда готовы прийти на помощь.

Используемые ресурсы, дополнительные ссылки.

http://habrahabr.ru/post/218713/

http://habrahabr.ru/post/218661/

http://heartbleed.com/

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com yandex.ru
Оставьте комментарий!

grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

Имя и сайт используются только при регистрации