centos 업그레이드 openssl-CVE-2016-0800-익사 공격

2

이전 openssl 버전에서 발견 된 최근의 취약점으로 인해 업그레이드해야합니다.

그러나 Centos 저장소에는 현재 버전이 없습니다 ... 추가하고 업그레이드 할 수있는 신뢰할 수있는 저장소가 있습니까?

openssl 1.0.1의 최신 버전이 필요합니다. https://www.linuxos.pro/drown-attack-cve-2016-0800/에 명시된대로 1.0.1e_42.el6_7.4 (CENTOS 6의 경우) 라고 생각합니다 .

안전하게 업그레이드 할 수있는 방법이 있습니까?

Apache, postfix 등과 같은 서비스 구성도 업데이트해야합니까?

security  centos  updates  openssl  packages 
엠푸에 슬린
소스

답변:

2

CentOS 패키지는 Red Hat Enterprise Linux 소스에서 다시 빌드됩니다. Red Hat 은 패키지에 대한 보안 수정백 포트 합니다. 즉, 버전이 오래되었지만 보안 취약점을 수정하도록 패치되었습니다. 예를 들어, 특히 관심이있는 CVE의 경우 보안 정오표에 대한 링크는 여기 에서 찾을 수 있습니다 . 해당 링크를 따라 가면 openssl-1.0.1e-42.el6_7.4가 CVE-2016-0800 용으로 패치 된 것을 알 수 있습니다.

칼루 지
소스
1

좋아, drownattack.com에서 취약한 서버를 찾았습니다.

POP3, IMAP, 443 등의 취약한 포트를 보았습니다. 이제 "yum update"를 통해 사용 가능한 최신 openssl로 업데이트했습니다. 이미 패치되어 있습니다 ( https://www.linuxos.pro/drown-attack-cve- 2016-0800 / ) : "openssl-1.0.1e-42.el6_7.4".

내 서비스에서 sslv2를 비활성화하려면 (apache & postfix)

httpd (/etc/httpd/conf.d/ssl.conf) 및 주석 처리되지 않은 행 "#SSLProtocols ..."에 대한 구성을 편집하고 편집했습니다.

SSLProtocol All -SSLv2 -SSLv3

그것을 테스트하십시오 (아파치를 다시 시작한 후) :

openssl s_client -ssl2 -connect www.example.com:443

얻었다 :

CONNECTED(00000003)
140313005905736:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

비활성화되어 있습니다. 이제 postfix : /etc/postfix/main.cf를 편집하고 하단에 추가했습니다 :

smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3

테스트했습니다 (예 : POP3와 같이 postfix를 다시 시작한 후).

openssl s_client -connect x.x.x.x:110 -starttls pop3 -ssl2

얻었다

CONNECTED(00000003)
140110128891720:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

또한 비활성화되어 있습니다.

엠푸에 슬린
소스
0

DROWN 및 POODLE로 인해 등급 A / 등급이 "A"보다 낮은 Qualys SSLLabs 인증서 테스트에 대해 우려하는 사람들을 위해 다음 링크를 통해 가장 좋은 방법을 찾을 수 있습니다.

https://access.redhat.com/solutions/1232413

https://blog.qualys.com/ssllabs/2013/03/19/rc4-in-tls-is-broken-now-what#comment-8643

EC2 인스턴스에서이 문제가 발생했고 AWS 기술 지원팀에서 제대로 지원하려면 각 VirtualHost 지시문 에 모든 SSL 구성 지시문을 포함시켜야합니다 .

<VirtualHost *:443>
    DocumentRoot ...
    ServerName ...
    ServerAlias ...
    SSLEngine ON
    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
    SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM \
        EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 \
        EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 \
        EECDH EDH+aRSA \
        !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
    SSLHonorCipherOrder on
    SSLCertificateFile /etc/httpd/conf/ssl.crt/...
    SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/...
    SSLCACertificateFile /etc/httpd/conf/ssl.crt/...
    ErrorLog logs/...
    CustomLog logs/... combined
</VirtualHost>

위의 SSLCipherSuite 값은 새로운 취약점이 발견되거나 일부 암호가 약하다고 생각 될 때마다 변경되어야합니다.

SSL 설정을 정기적으로 테스트하는 것이 좋습니다.

편집 : 이것은 openssl 라이브러리를 1.0.1e_42.el6_7.4로 업그레이드하는 것 외에도 (CENTOS 6의 경우)

사이트 80443
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.