OpenSSL을 업데이트 한 후에도 서버가 여전히 허풍에 취약합니다.


28

우분투 12.04 서버가 있습니다. OpenSSLHeartbleed 취약점을 해결하기 위해 패키지를 업데이트했습니다 . 그러나 웹 서버와 전체 서버를 다시 시작했지만 여전히 취약합니다.

내 취약점을 확인하려면 다음을 사용하십시오.

dpkg는 다음을 제공합니다.

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)


openssl version -a?의 출력
Nathan C

12.04 서버 (nginx 포함)도 실행 중입니다. 광산은 보안 업데이트를 자동으로 설치하도록 설정되어 있으며 Python 스크립트를 실행할 때 취약하지 않습니다. 패키지 저장소에서 또는 수동으로 nginx를 설치 했습니까?
mikeazo

1
이 포트에서 무엇을 실행하고 있습니까? 타사 앱인 경우 정적 라이브러리가있을 수 있습니다.
Nathan C

답변:


29

있는지 확인합니다 libssl1.0.0아니라 (패키지는 실제 라이브러리가 포함되어 있는지의 같은 패키지가 업데이트되었습니다 openssl패키지는 도구가 포함되어 있습니다) 라이브러리를 사용하는 모든 서비스는 업그레이드 후 다시 시작되었는지.

openssl을 사용하여 모든 서비스를 다시 시작해야합니다 (서비스 아파치 다시 시작).


4
지금 교체 된 이전 버전의 libssl을 사용하는 서비스 목록을 보려면 "lsof -n | grep ssl | grep DEL"을 시도하십시오. 또는 편집증 환자라면 libssl의 모든 버전을 사용하여 모든 목록을 얻을 수 있습니다. "lsof -n | grep libssl | cut -c1-10 | sort | uniq"
Jemenake

3

그건 가능한 당신이 당, 가양 대소 자주 묻는 질문 :

오탐 (빨간색)이 표시됩니다!

버튼을 망치는 사이트를 글리치하지 않으면 빨간색이 빨간색이 아니라고 생각할 수있는 방법이 없습니다.

메모리 덤프가 있는지 확인하면 도구가 어딘가에서 가져옵니다.

올바르게 업데이트 한 후 모든 프로세스를 다시 시작하면 더 잘 보일 것이라고 99 % 확신합니다.

업데이트 : 여전히 영향을받지 않는 버전이 계속 빨간색으로 표시됩니다. 영향을받는 경우 문제에 대한 의견을 제시 하십시오 . 나는 메모리 덤프 (어디에서 왔는지 파악하기 위해), 타임 스탬프 (가능한 한 정확하게 네트워크 탭으로 시도), 클릭하고 입력 한 것에 대한 완전한 설명을 찾고 있습니다.

SSLLabs 와 같은 다른 도구를 사용하여 사이트를 테스트 하고 여전히 취약한 것으로보고되는지 확인할 수 있습니다.
또한 위에서 설명한대로 http://filippo.io/Heartbleed 테스터에 문제를보고해야합니다 .


SSLLabs를 사용하여 Heartbleed에 취약한 것으로 나타났습니다
Matt

@Matt 실제로 문제가있을 수 있습니다. 메모리 덤프를 확인하고 (하나가 제공됩니까?) filippo.io 도구 뒤에있는 멋진 사람들과 연결하십시오.
voretaq7


2

정적으로 링크 된 openssl 라이브러리가있는 443에서 청취하는 프로그램이있을 수 있습니다. 이것은 프로그램에 자체의 openssl이 포함되어 있음을 의미합니다.이 프로그램도 업데이트하십시오! 사용할 수없는 경우 즉시 공급 업체에 알리고 가능하면이 응용 프로그램을 일시 중단하십시오!


2

FAQ 페이지 에 나열된 버그가 발생했을 수 있습니다 . 특정 상황에서는 패치 된 시스템에서도 취약한 알림을받을 수 있습니다.

오탐 (빨간색)이 표시됩니다!

버튼을 망치는 사이트를 글리치하지 않으면 빨간색이 빨간색이 아니라고 생각할 수있는 방법이 없습니다. 메모리 덤프가 있는지 확인하면 도구가 어딘가에서 가져옵니다. 올바르게 업데이트 한 후 모든 프로세스를 다시 시작하면 더 잘 보일 것이라고 99 % 확신합니다.

업데이트 : 여전히 영향을받지 않는 버전이 계속 빨간색으로 표시됩니다. 영향을받는 경우 문제에 대한 의견을 제시하십시오. 나는 메모리 덤프 (어디에서 왔는지 파악하기 위해), 타임 스탬프 (가능한 한 정확하게 네트워크 탭으로 시도), 클릭하고 입력 한 것에 대한 완전한 설명을 찾고 있습니다.

시스템이 더 이상 취약하지 않은지 확인하기 위해 Qualys 와 같은 대체 테스트로 테스트하는 것이 좋습니다 . 그것이 Github향하지 않으면 그것을 보고하십시오.


여전히 망가 졌어

무엇입니까? 당신이 말하는 "서버"에는 정적 링크 OpenSSl 라이브러리가있을 수 있습니다. 이것은 시스템을 업데이트하더라도 응용 프로그램이 여전히 위험하다는 것을 의미합니다! 패치를 받거나 서비스를 종료하려면 소프트웨어 공급 업체에 즉시 문의해야합니다.

패치가 종료 될 때까지 서비스를 비활성화해야합니까?

그렇습니다. 취약한 서비스를 운영하는 것은 태만 가능성에 매우 위험합니다! 서버가 전송에서 해독 한 데이터를 유출하여 알지 못할 수도 있습니다!



0

443에서 실행되는 응용 프로그램이 OpenSSL에 정적 라이브러리를 사용하는 경우 이는 매우 가능합니다. 이 경우 더 이상 취약하지 않도록 해당 응용 프로그램을 업데이트 해야 합니다.


0

마침내 OP와 비슷한 문제를 해결할 수있었습니다. 내 서버는 Bitnami의 LAMP 스택입니다. 다음 지침을 따르십시오.

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.