Security Exploit: OpenSSL HeartBleed Bug

[NullByte]

Здравейте,
Ако използвате SSL е хубаво да прочетете тази тема.

Открит е експлойт за OpenSSL - https://www.openssl.org/news/secadv_20140407.txt

Ако сте засегнати евентуални хакери могат да откраднат личния ключ и дефакто абсолютно всичко, което иначе е защитено от SSL.

Проверете дали Вашият сайт е засегнат тук: http://filippo.io/Heartbleed/

Ако сте на VPS може да се ъпгрейднете със следните команди:
CentOS:
yum upgrade openssl
service httpd restart
или service nginx restart за използващите nginx

Ubuntu/Debian:
apt-get upgrade

Ако сте на споделен хостинг и на проверката излиза, че сте уязвими, задължително пишете или се обадете на своя доставчик.

Хубаво е да проверите и техния сайт и билинг, тъй като там е Вашата лична информация и тя е уязвима!

Би трябвало всички големи доставчици да са се пачнали преди часове, но това е достатъчно сериозно, за да проверите.

Повече информация може да намерите тук: http://heartbleed.com/

 

[s1yf0x]

От: Security Exploit: OpenSSL HeartBleed Bug

Брей, те се сетиха да го обявят този бъг. Сега да видим кой авторизиращ орган си направи ПР от цялата работа За момента отказват преиздаването на сертификати безплатно или на преференциална цена.

 

[NullByte]

От: Security Exploit: OpenSSL HeartBleed Bug

На нас ни преиздадоха всички сертификати безплатно. Но други компании може да вземат такса за преиздаване..

 

[s1yf0x]

От: Security Exploit: OpenSSL HeartBleed Bug

ИНтересно, точно RapidSSL се правят на цапнати в момента, а те са на Geotrust.

 

[r.stefanov]

От: Security Exploit: OpenSSL HeartBleed Bug

Здравейте,
Ако използвате SSL е хубаво да прочетете тази тема.

Открит е експлойт за OpenSSL - https://www.openssl.org/news/secadv_20140407.txt

Ако сте засегнати евентуални хакери могат да откраднат личния ключ и дефакто абсолютно всичко, което иначе е защитено от SSL.

Проверете дали Вашият сайт е засегнат тук: http://filippo.io/Heartbleed/

Ако сте на VPS може да се ъпгрейднете със следните команди:
CentOS:
yum upgrade openssl
service httpd restart
или service nginx restart за използващите nginx

Ubuntu/Debian:
apt-get upgrade

Ако сте на споделен хостинг и на проверката излиза, че сте уязвими, задължително пишете или се обадете на своя доставчик.

Хубаво е да проверите и техния сайт и билинг, тъй като там е Вашата лична информация и тя е уязвима!

Би трябвало всички големи доставчици да са се пачнали преди часове, но това е достатъчно сериозно, за да проверите.

Повече информация може да намерите тук: http://heartbleed.com/

Update на пакетите не е достатъчно. Трябва да се обновят и всички библиотеки използващи openssl. Както и да се рестартират всички засегнати процеси:

grep -l 'libssl.*deleted' /proc/*/maps | tr -cd 0-9\\n | xargs -r ps u

Плюс да се rekey сертификатите. В противен случай е половинчата работа и реално нищо не си направил.

 

[garnet]

Луда работа.
Това е толкова сериозно, че не знам как се е стигнало до там изобщо.
Би било добре ако някой тук напише как се оправя проблема за линукс.
Колегата горе е писал, но ако може стъпка по стъпка ще е супер.

 

[r.stefanov]

От: Re: Security Exploit: OpenSSL HeartBleed Bug

Луда работа.
Това е толкова сериозно, че не знам как се е стигнало до там изобщо.
Би било добре ако някой тук напише как се оправя проблема за линукс.
Колегата горе е писал, но ако може стъпка по стъпка ще е супер.

Всяко дистро вече има статии какво трябва да се направи. Следвайте тях, а не мнения от форуми. Винаги е добре да се абонирате за security updates за ос, която използвате.

http://www.ubuntu.com/usn/usn-2165-1/ примерно

 

[glndrk]

От: Re: Security Exploit: OpenSSL HeartBleed Bug

Луда работа.
Това е толкова сериозно, че не знам как се е стигнало до там изобщо.
Би било добре ако някой тук напише как се оправя проблема за линукс.
Колегата горе е писал, но ако може стъпка по стъпка ще е супер.

Ами като за начало си чекваш версията на OpenSSL

openssl version

Трябва да е 1.0.1g


От там нататък, в зависимост от дистрибуцията

apt-get update
apt-get upgrade


После проверяваш
dpkg-query -l 'openssl'

За *BDS мога да напиша по-късно(ако някои се интересува) като си ъпгрейдна сървърите :wink:

 

[r.stefanov]

От: От: Re: Security Exploit: OpenSSL HeartBleed Bug

Ами като за начало си чекваш версията на OpenSSL

openssl version

Трябва да е 1.0.1g

В някои ОС няма minor версия, примерно Ubuntu. Debian push-наха само security fix-a. Поне в 12.04 LTS, но мисля и с останалите е така. Гледай build on датата и версията в dpkg

Този е обновен:

root@*:~# openssl version -a

OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr 7 20:33:29 UTC 2014

root@*:~# dpkg -l | grep ssl

ii  libssl1.0.0                     1.0.1-4ubuntu5.12          SSL shared libraries
ii  libssl1.0.0:i386              1.0.1-4ubuntu5.12            SSL shared libraries
ii  openssl                         1.0.1-4ubuntu5.12            Secure Socket Layer (SSL) binary and related cryptographic tools

Този не е:

root@*:~# openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Wed Jan 8 20:45:51 UTC 2014
platform: debian-amd64

root@*:~# dpkg -l | grep ssl

ii  libssl1.0.0                     1.0.1-4ubuntu5.11                 SSL shared libraries
ii  openssl                         1.0.1-4ubuntu5.11                 Secure Socket Layer (SSL) binary and related cryptographic tools
ii  ssl-cert                        1.0.28ubuntu0.1                   simple debconf wrapper for OpenSSL

А при red hat:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

 

[NullByte]

От: Security Exploit: OpenSSL HeartBleed Bug

Ако става дума за уебсайт най-лесно е да използвате линка, който проверява дали даден сайт е уязвим.
@r.stefanov Дебиан/Убунту сами рестартират приложенията. За CentOS е нужно да се рестартират.
Преиздаването на сертификати го коментирахме с @s1yf0x - ако е възможно безплатно е хубаво всички да си регенерират сертификатите с нови ключове.
Ако е платено вече по Ваша преценка.

P.S. Забелязвам, че повечето доставчици не си правят труда да си регенерират ключове, а някои дори до вчера не се бяха пачнали.. Ако четете тази тема вземете мерки най-малко от уважение към клиентите си.

 

[coolice]

Re: От: От: Re: Security Exploit: OpenSSL HeartBleed Bug

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable и че трябва да е g не е изцяло вярно. Всички 1.0.1 версии на опен ссл койта който са компилирани със -DOPENSSL_NO_HEARTBEATS се водят пачнати и не са ефектирани от този бъг, според часта в олд пост на https://isc.sans.edu/diary/OpenSSL+CVE-2014-0160+Fixed/17917 а те бяха пуснали техен си пачнат rpm за центос

иначе 2:54 utc (gmt без деилаит свеивинг)
в 5:54 сутринта бг време е пушнат ъпдейта http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html

пакет който замени 5.6 на 5.7 само scientific linux няма ъпдейт до някое време следобеда...

 

[garnet]

Re: От: Security Exploit: OpenSSL HeartBleed Bug

е хубаво всички да си регенерират сертификатите с нови ключове.
Ако е платено вече по Ваша преценка.

Това кво означава?
Аз имам апач с ххтпс. За него преди генерирах серификат, самоподписан.
Сега означава ли, че след ъпдейт на опенссл, трябва да затрия стария сертификат и да генерирам нов?
И да рестартирам апача?

Мисля, че ъпдейтнах опенссл, но при проверка ми дава, че още съм уязвим.
Още не съм сменил сертификата и не съм рестартирал pi-я. Реснах обаче апача. Дали е от това?

 

[s1yf0x]

От: Re: От: Security Exploit: OpenSSL HeartBleed Bug

Това кво означава?
Аз имам апач с ххтпс. За него преди генерирах серификат, самоподписан.
Сега означава ли, че след ъпдейт на опенссл, трябва да затрия стария сертификат и да генерирам нов?
И да рестартирам апача?

Мисля, че ъпдейтнах опенссл, но при проверка ми дава, че още съм уязвим.
Още не съм сменил сертификата и не съм рестартирал pi-я. Реснах обаче апача. Дали е от това?

Баш това означава. Нов .key , нов .crt

 

[r.stefanov]

От: Security Exploit: OpenSSL HeartBleed Bug

@r.stefanov Дебиан/Убунту сами рестартират приложенията. За CentOS е нужно да се рестартират.

От вчера до сега съм обновил около 100 сървъра с Ubuntu 12.04 LTS. Знаеш ли колко от тях рестартираха който и да е процес използващ shared библиотеките за openssl? - 0 Ако обновиш Apache (примерно), да, тогава го рестартира. Само че в случая е openssl. Мързи ме да пускам output от конзолата.

P.S. - да живее scope

 

[garnet]

Re: От: Security Exploit: OpenSSL HeartBleed Bug

Въпроси към експертите. Знам че акъл не може да се набие като х.., но все пак ми се иска да се понауча.
Ето въпрос:
след ъпдейт на опенссл и растарт на апача - сайта още беше уязвим (според проверката по-горе). След като ре-генерирах сертификата - вече не беше.
Защо стана така - проблема не е ли в опенссл. Сертификата е просто текст файл, генериран с опенссл.
Е това не ми е ясно.

 

[dragozh]

От: Security Exploit: OpenSSL HeartBleed Bug

Проблем известен в някои затворени групи и форуми от година година и половина. Ако си мислите, че фиксвате и няма други проблеми във въпросната библиотека сте в заблуда. От около 8-9 месеца в същите затворени групи/форуми са се появили и куп други проблеми чрез които влизането в отдалечена машина без нужда от какъвто и да е потребител и парола става. като детска игра. Та, ако искате да спите спокойно просто е нужно да си направите правилен дизайн на инфраструктурата или да ползвате такава.

 

[s1yf0x]

От: Re: От: Security Exploit: OpenSSL HeartBleed Bug

Въпроси към експертите. Знам че акъл не може да се набие като х.., но все пак ми се иска да се понауча.
Ето въпрос:
след ъпдейт на опенссл и растарт на апача - сайта още беше уязвим (според проверката по-горе). След като ре-генерирах сертификата - вече не беше.
Защо стана така - проблема не е ли в опенссл. Сертификата е просто текст файл, генериран с опенссл.
Е това не ми е ясно.

Има промяна в начина, по който новата версия на openssl генерира .key и .csr . Ако примерно ключа и csr-a са генерирани на стар сървър с версия на openssl под 1.0.0 дори и сървъра на който си инсталирал сертификата да има версия 1.0.1 (уязвима), горната проверка, че ти изведе съобщение, че всичко е ОК. Затова горната проверка е пълен ташак, а цялата параноя е пълен ПР.

 

[r.stefanov]

От: Re: От: Security Exploit: OpenSSL HeartBleed Bug

Има промяна в начина, по който новата версия на openssl генерира .key и .csr . Ако примерно ключа и csr-a са генерирани на стар сървър с версия на openssl под 1.0.0 дори и сървъра на който си инсталирал сертификата да има версия 1.0.1 (уязвима), горната проверка, че ти изведе съобщение, че всичко е ОК. Затова горната проверка е пълен ташак, а цялата параноя е пълен ПР.

PR или не, по-добре да си вържеш гащите от колкото по кофти начин да разбереш. Аз предпочитам да вярвам на developer-ите на CentOS и Debian пред форуимите. До сега не са ме подвеждали. А бъга е сериозен както и да го погледнеш, нищо че със закъснение се обяви.