무인 업그레이드로 하트 풀 버그가 해결되지 않는 이유는 무엇입니까?


20

서버 (우분투 서버 13.10)에 자동 보안 업데이트를 설치하기 위해 무인 업그레이드를 설치하라는 지시를 따랐습니다.

https://help.ubuntu.com/community/AutomaticSecurityUpdates

오늘 아침에 여전히 서버에 heartbleed 버그가있는 이유를 이해하도록 도와 줄 수 있습니까?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

기타 정보:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

고맙습니다


2
귀하의 질문에 대답하지 않지만 OS를 수정하기 위해 이것에 대한 답변을 살펴보십시오. askubuntu.com/questions/444817/am-i-affected-heartbleed-bug
Ring Ø

업데이트 된 버전이 있어야한다는 데 동의합니다. 내 12.04 서버가 자동 업데이트 중이며 어제 업데이트되었습니다. 확인 했습니까 /var/log/apt/history.log?
Jos

@jos /var/log/apt/history.log의 내용을 보았습니다. 더 이상 정보가 없습니다
Guillaume Vincent

답변:


28

서버에 Heartbleed 취약점이없는 경우 OpenSSL은이 문제를 해결하기 위해 패치되었습니다 (업그레이드하지 않고).

OpenSSL 버전 출력에서 ​​몇 가지 중요한 행을 생략했습니다. 버전 번호가 아니라 패치 된 것을 알 수 있습니다.

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

4 월 7 일 이후에 '빌드 온'라인이 중요합니다. 그렇지 않으면 : 당신은 문제가 있습니다.

빌드 날짜가 좋지 않은 것 같아서 업데이트하십시오.

무인 업그레이드가 아직 실행되지 않았을 수도 있습니다. 내 서버에서 cron.daily의 스크립트가 6:25에 실행되도록 구성되어 있습니다.

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

또한 /etc/apt/apt.conf.d/10주기의 내용을 확인하고 보안 업데이트가 설치되어 있는지 확인하십시오.

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

출처 : https://help.ubuntu.com/lts/serverguide/automatic-updates.html


1
난 곤경에 처해있다 :(built on: Wed Jan 8 20:58:47 UTC 2014 platform: debian-amd64
Guillaume Vincent

그냥 실행 sudo apt-get update && sudo apt-get dist-upgrade하고 최신 상태 여야합니다.
Edd Turtle

@EddTurtle 감사합니다, 이것은 내 질문이 아닙니다! 내 질문은 자동 업데이트가 작동하지 않는 이유입니다!
기 illa 빈센트

내 /etc/apt/apt.conf.d/10주기가 좋지 않거나 cron이 오전 5시에 업그레이드를 찾지 못했습니다. 감사합니다 @ mathieu-comandon

@guillaumevincent 방금 무인 업그레이드가 가장 최근에 설치 한 패키지라는 것을 알았습니다. 따라서 구성 문제 여야했습니다.
Jos

12

먼저 업그레이드를 수행해야합니다. 무인 업그레이드는 하루에 한 번만 실행되며 수정 프로그램이 나온 후 (2014-04-07 20:00 GMT 기준) 1 일 미만입니다. 안전을 위해 다음으로 업그레이드했는지 확인하십시오.libssl1.0.0 버전 1.0.1e-3ubuntu1.2 이상으로 . (정확하게, 수정 사항은 버전 1.0.1-4ubuntu5.12에 제공되었습니다.)

다음으로, 이는 매우 나쁜 취약점입니다. 공격자가 취약한 서버에 연결하여 기밀 데이터를 얻을 수 있습니다. SSL 서버를 실행하는 경우 취약점이 발표되기 약간 전에 서버 메모리에 있던 모든 데이터가 유출되었을 수 있습니다. 여기에는 특히 서버의 SSL 개인 키가 포함되므로 새 키를 생성하고 이전 키를 취소해야합니다.

자세한 내용 은 OpenSSL에서 Heartbleed 버그 (CVE-2014-0160)를 패치하는 방법을 참조하십시오 .


발표 시점뿐 아니라 약 2 년 동안 서버 메모리에있는 모든 내용이 유출되었을 수 있습니다.
pieroxy

@pieroxy 서버의 메모리에 오랫동안 존재했던 모든 내용은 다른 많은 공격 경로에 대해서도 걱정해야 할 정도로 덮어 쓰여질 가능성이 높습니다. 예외적으로 버그를 미리 알고 악의적으로 악용 한 사람에 대해 걱정하는 경우 – 정부 수준의 악당이 잘 알고있을 수도 있지만, 일반 사기꾼이 그럴 가능성은 낮습니다.
Gilles 'SO- 악마 그만해'

7

내부 버전 문자열을 신뢰할 수 없습니다. 버전 1.0.1e에 버그가 1.0.0에서 1.0.0f까지 영향을 미칩니다. 여전히 취약한 버전의 openssl이 있는지 판단하기에 충분합니까? 아니요. OpenSSL 내부 버전은 변경되지 않으며 일부 업데이트가 적용 되더라도 마찬가지입니다. 버전을 확실하게 식별하는 유일한 방법은 apt-cache policy또는 다른 도구를 사용하여 패키지 관리자 버전을 찾는 것입니다 .

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

보시다시피, 내 변경 사항을 확인하면 openssl의 버전이 우수합니다. 1.0.1f이므로 영향을받는 것으로 보입니다.

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

그래, 난 여전히 영향을 받고있어 변경 로그에는 CVE-2014-0160에 대한 참조가 없습니다. 그러나 SSL / TSL 서비스를 실행하지 않으므로 기다릴 수 있습니다. 이 OpenSSL 버전을 사용하여 SSL 인증서를 생성 할 필요는 없습니다. 그렇다면 Gilles의 조언을 따라야합니다. 서비스를 중단하고 인증서를 해지하고 새 인증서를 생성하십시오.


참고 : "apt-cache changelog"는 올바른 명령이 아니지만 "aptitude changelog"입니다.
ColinM

1
@ColinM 죄송합니다. apt-get, apt-cache가 아닌 클립 보드 문제입니다.
Braiam
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.