Приветствую.
В Openssl обнаружена уязвимость, которая позволяет прочитать рандомные 64К памяти сервера. Выбирать, что именно читать, нельзя, но можно спросить много раз.
Условия — торчащий наружу TLS (например, nginx+https). Последствия — любые данные с сервера уже могут быть украдены. В особенности, ваши сертификаты.
Уязвим Debian Wheezy. Squeeze уязвимости не подвержен.
Обновлять openssl нужно так:
root@server:~# apt-get update; apt-get install openssl libssl1.0.0
Пойдите и сделайте это прямо сейчас. Эксплойт в паблике.
Не забывайте делать тоже самое _всегда_ при установке системы до тех пор, пока обновление не попадет в инсталлятор и вы не скачаете новый исошник. Даже если у вас netinstall — проверяйте, что пакеты у вас новых версий.
Должно выглядеть так:
root@server:~# dpkg -l | egrep '(openssl|libssl)'
ii libssl-dev 1.0.1e-2+deb7u6
ii libssl-doc 1.0.1e-2+deb7u1
ii libssl1.0.0:amd64 1.0.1e-2+deb7u6
ii openssl 1.0.1e-2+deb7u6
ii libssl-dev 1.0.1e-2+deb7u6
ii libssl-doc 1.0.1e-2+deb7u1
ii libssl1.0.0:amd64 1.0.1e-2+deb7u6
ii openssl 1.0.1e-2+deb7u6
Всем удачи.
apt-get install openssl libssl1.0.0 ведь скажет, что пакеты стоят. Добавить бы ключ —only-upgrade
Не скажет
Хм, да. Ошибся, сорри.
скажет:
~$ sudo apt-get install libssl1.0.0
Reading package lists… Done
Building dependency tree
Reading state information… Done
libssl1.0.0 is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
—-
лучше подскажите, как обновиться так, чтобы избавиться от libssl0.9.8? она зависимость для php5-*
а, да… версия Debian 7.4 x64
> лучше подскажите, как обновиться так, чтобы избавиться от libssl0.9.8? она зависимость для php5-*
а вот про это поподробнее можно? Не должно быть такого в wheezy уже.
> libssl1.0.0 is already the newest version.
Версия какая сейчас стоит? apt-get update делали?
~$ sudo dpkg -l | egrep ‘(openssl|libssl)’
ii libevent-openssl-2.0-5:amd64 2.0.19-stable-3 amd64
ii libgnutls-openssl27:amd64 2.12.20-8+deb7u1 amd64
ii libssl0.9.8 0.9.8o-4squeeze14 amd64
ii libssl1.0.0:amd64 1.0.1e-2+deb7u7 amd64
ii openssl 1.0.1e-2+deb7u7
Как-то так.
Да, update делал — у меня в скрипт вот такая команда загнана: «apt-get update && apt-get upgrade && apt-get autoremove && apt-get autoclean»
А если сказать apt-get purge libssl0.9.8 что он там пытается удалить?
как я и написал выше — пакеты php5-*:
libapache2-mod-php5* libssl0.9.8* php-pear* php5-cli* php5-curl* php5-fpm* php5-gd* php5-imap* php5-mcrypt* php5-mysql* php5-xmlrpc*
версия PHP: 5.3.28-1~dotdeb.0 (перейти на 5.4 нет возможности — один из сайтов требует именно 5.3)
«Ошибка появилась в версии OpenSSL 1.0.1 и исправлена в версии 1.0.1g.» (c) https://ru.wikipedia.org/wiki/Heartbleed
оу, блин. перебздел не в ту сторону :) спасибо за «волшебный пендаль».
Не за чт. Хотя php5.3 я бы всё же посоветовал запускать в отдельном чруте, а все сайты по возможности перевести на 5.4 =)