Debian.pro

Блог для пользователей и администраторов Debian


OpenSSL HeartBleed в Debian. CVE-2014-0160, обновляемся.

Приветствую.

В Openssl обнаружена уязвимость, которая позволяет прочитать рандомные 64К памяти сервера. Выбирать, что именно читать, нельзя, но можно спросить много раз.
Условия — торчащий наружу TLS (например, nginx+https). Последствия — любые данные с сервера уже могут быть украдены. В особенности, ваши сертификаты.

Уязвим Debian Wheezy. Squeeze уязвимости не подвержен.

Обновлять openssl нужно так:

root@server:~# apt-get update; apt-get install openssl libssl1.0.0

Пойдите и сделайте это прямо сейчас. Эксплойт в паблике.

Не забывайте делать тоже самое _всегда_ при установке системы до тех пор, пока обновление не попадет в инсталлятор и вы не скачаете новый исошник. Даже если у вас netinstall — проверяйте, что пакеты у вас новых версий.

Должно выглядеть так:

root@server:~# dpkg -l | egrep '(openssl|libssl)'
ii  libssl-dev           1.0.1e-2+deb7u6
ii  libssl-doc           1.0.1e-2+deb7u1
ii  libssl1.0.0:amd64    1.0.1e-2+deb7u6
ii  openssl              1.0.1e-2+deb7u6

Всем удачи.


Комментарии (12):

  1. Saymon21 :

    apt-get install openssl libssl1.0.0 ведь скажет, что пакеты стоят. Добавить бы ключ —only-upgrade

  2. Влад :

    Не скажет

  3. Saymon21 :

    Хм, да. Ошибся, сорри.

  4. Borz :

    скажет:
    ~$ sudo apt-get install libssl1.0.0
    Reading package lists… Done
    Building dependency tree
    Reading state information… Done
    libssl1.0.0 is already the newest version.
    0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

    —-
    лучше подскажите, как обновиться так, чтобы избавиться от libssl0.9.8? она зависимость для php5-*

  5. Borz :

    а, да… версия Debian 7.4 x64

  6. > лучше подскажите, как обновиться так, чтобы избавиться от libssl0.9.8? она зависимость для php5-*
    а вот про это поподробнее можно? Не должно быть такого в wheezy уже.

    > libssl1.0.0 is already the newest version.
    Версия какая сейчас стоит? apt-get update делали?

  7. Borz :

    ~$ sudo dpkg -l | egrep ‘(openssl|libssl)’
    ii libevent-openssl-2.0-5:amd64 2.0.19-stable-3 amd64
    ii libgnutls-openssl27:amd64 2.12.20-8+deb7u1 amd64
    ii libssl0.9.8 0.9.8o-4squeeze14 amd64
    ii libssl1.0.0:amd64 1.0.1e-2+deb7u7 amd64
    ii openssl 1.0.1e-2+deb7u7

    Как-то так.
    Да, update делал — у меня в скрипт вот такая команда загнана: «apt-get update && apt-get upgrade && apt-get autoremove && apt-get autoclean»

  8. А если сказать apt-get purge libssl0.9.8 что он там пытается удалить?

  9. Borz :

    как я и написал выше — пакеты php5-*:
    libapache2-mod-php5* libssl0.9.8* php-pear* php5-cli* php5-curl* php5-fpm* php5-gd* php5-imap* php5-mcrypt* php5-mysql* php5-xmlrpc*

    версия PHP: 5.3.28-1~dotdeb.0 (перейти на 5.4 нет возможности — один из сайтов требует именно 5.3)

  10. «Ошибка появилась в версии OpenSSL 1.0.1 и исправлена в версии 1.0.1g.» (c) https://ru.wikipedia.org/wiki/Heartbleed

  11. Borz :

    оу, блин. перебздел не в ту сторону :) спасибо за «волшебный пендаль».

  12. Не за чт. Хотя php5.3 я бы всё же посоветовал запускать в отдельном чруте, а все сайты по возможности перевести на 5.4 =)

Написать комментарий