Security Exploit: OpenSSL HeartBleed Bug

NullByte

Active Member
Здравейте,
Ако използвате SSL е хубаво да прочетете тази тема.

Открит е експлойт за OpenSSL - https://www.openssl.org/news/secadv_20140407.txt

Ако сте засегнати евентуални хакери могат да откраднат личния ключ и дефакто абсолютно всичко, което иначе е защитено от SSL.

Проверете дали Вашият сайт е засегнат тук: http://filippo.io/Heartbleed/

Ако сте на VPS може да се ъпгрейднете със следните команди:
CentOS:
yum upgrade openssl
service httpd restart
или service nginx restart за използващите nginx

Ubuntu/Debian:
apt-get upgrade

Ако сте на споделен хостинг и на проверката излиза, че сте уязвими, задължително пишете или се обадете на своя доставчик.

Хубаво е да проверите и техния сайт и билинг, тъй като там е Вашата лична информация и тя е уязвима!

Би трябвало всички големи доставчици да са се пачнали преди часове, но това е достатъчно сериозно, за да проверите.

Повече информация може да намерите тук: http://heartbleed.com/
 

s1yf0x

Well-Known Member
От: Security Exploit: OpenSSL HeartBleed Bug

Брей, те се сетиха да го обявят този бъг. Сега да видим кой авторизиращ орган си направи ПР от цялата работа :) За момента отказват преиздаването на сертификати безплатно или на преференциална цена.
 

NullByte

Active Member
От: Security Exploit: OpenSSL HeartBleed Bug

На нас ни преиздадоха всички сертификати безплатно. Но други компании може да вземат такса за преиздаване..
 

s1yf0x

Well-Known Member
От: Security Exploit: OpenSSL HeartBleed Bug

ИНтересно, точно RapidSSL се правят на цапнати в момента, а те са на Geotrust.
 

r.stefanov

New Member
От: Security Exploit: OpenSSL HeartBleed Bug

Здравейте,
Ако използвате SSL е хубаво да прочетете тази тема.

Открит е експлойт за OpenSSL - https://www.openssl.org/news/secadv_20140407.txt

Ако сте засегнати евентуални хакери могат да откраднат личния ключ и дефакто абсолютно всичко, което иначе е защитено от SSL.

Проверете дали Вашият сайт е засегнат тук: http://filippo.io/Heartbleed/

Ако сте на VPS може да се ъпгрейднете със следните команди:
CentOS:
yum upgrade openssl
service httpd restart
или service nginx restart за използващите nginx

Ubuntu/Debian:
apt-get upgrade

Ако сте на споделен хостинг и на проверката излиза, че сте уязвими, задължително пишете или се обадете на своя доставчик.

Хубаво е да проверите и техния сайт и билинг, тъй като там е Вашата лична информация и тя е уязвима!

Би трябвало всички големи доставчици да са се пачнали преди часове, но това е достатъчно сериозно, за да проверите.

Повече информация може да намерите тук: http://heartbleed.com/

Update на пакетите не е достатъчно. Трябва да се обновят и всички библиотеки използващи openssl. Както и да се рестартират всички засегнати процеси:

Код:
grep -l 'libssl.*deleted' /proc/*/maps | tr -cd 0-9\\n | xargs -r ps u

Плюс да се rekey сертификатите. В противен случай е половинчата работа и реално нищо не си направил.
 

garnet

Well-Known Member
Луда работа.
Това е толкова сериозно, че не знам как се е стигнало до там изобщо.
Би било добре ако някой тук напише как се оправя проблема за линукс.
Колегата горе е писал, но ако може стъпка по стъпка ще е супер.
 

r.stefanov

New Member
От: Re: Security Exploit: OpenSSL HeartBleed Bug

Луда работа.
Това е толкова сериозно, че не знам как се е стигнало до там изобщо.
Би било добре ако някой тук напише как се оправя проблема за линукс.
Колегата горе е писал, но ако може стъпка по стъпка ще е супер.

Всяко дистро вече има статии какво трябва да се направи. Следвайте тях, а не мнения от форуми. Винаги е добре да се абонирате за security updates за ос, която използвате.

http://www.ubuntu.com/usn/usn-2165-1/ примерно
 

glndrk

Well-Known Member
От: Re: Security Exploit: OpenSSL HeartBleed Bug

Луда работа.
Това е толкова сериозно, че не знам как се е стигнало до там изобщо.
Би било добре ако някой тук напише как се оправя проблема за линукс.
Колегата горе е писал, но ако може стъпка по стъпка ще е супер.

Ами като за начало си чекваш версията на OpenSSL

openssl version

Трябва да е 1.0.1g


От там нататък, в зависимост от дистрибуцията

apt-get update
apt-get upgrade



После проверяваш
dpkg-query -l 'openssl'

За *BDS мога да напиша по-късно(ако някои се интересува) като си ъпгрейдна сървърите :wink:
 

r.stefanov

New Member
От: От: Re: Security Exploit: OpenSSL HeartBleed Bug

Ами като за начало си чекваш версията на OpenSSL

openssl version

Трябва да е 1.0.1g

В някои ОС няма minor версия, примерно Ubuntu. Debian push-наха само security fix-a. Поне в 12.04 LTS, но мисля и с останалите е така. Гледай build on датата и версията в dpkg

Този е обновен:

[email protected]*:~# openssl version -a

OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr 7 20:33:29 UTC 2014

[email protected]*:~# dpkg -l | grep ssl

Код:
ii  libssl1.0.0                     1.0.1-4ubuntu5.12          SSL shared libraries
ii  libssl1.0.0:i386              1.0.1-4ubuntu5.12            SSL shared libraries
ii  openssl                         1.0.1-4ubuntu5.12            Secure Socket Layer (SSL) binary and related cryptographic tools

Този не е:

[email protected]*:~# openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Wed Jan 8 20:45:51 UTC 2014
platform: debian-amd64

[email protected]*:~# dpkg -l | grep ssl
Код:
ii  libssl1.0.0                     1.0.1-4ubuntu5.11                 SSL shared libraries
ii  openssl                         1.0.1-4ubuntu5.11                 Secure Socket Layer (SSL) binary and related cryptographic tools
ii  ssl-cert                        1.0.28ubuntu0.1                   simple debconf wrapper for OpenSSL

А при red hat:

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
 

NullByte

Active Member
От: Security Exploit: OpenSSL HeartBleed Bug

Ако става дума за уебсайт най-лесно е да използвате линка, който проверява дали даден сайт е уязвим.
@r.stefanov Дебиан/Убунту сами рестартират приложенията. За CentOS е нужно да се рестартират.
Преиздаването на сертификати го коментирахме с @s1yf0x - ако е възможно безплатно е хубаво всички да си регенерират сертификатите с нови ключове.
Ако е платено вече по Ваша преценка.

P.S. Забелязвам, че повечето доставчици не си правят труда да си регенерират ключове, а някои дори до вчера не се бяха пачнали.. Ако четете тази тема вземете мерки най-малко от уважение към клиентите си.
 

coolice

Owner
Re: От: От: Re: Security Exploit: OpenSSL HeartBleed Bug

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable и че трябва да е g не е изцяло вярно. Всички 1.0.1 версии на опен ссл койта който са компилирани със -DOPENSSL_NO_HEARTBEATS се водят пачнати и не са ефектирани от този бъг, според часта в олд пост на https://isc.sans.edu/diary/OpenSSL+CVE-2014-0160+Fixed/17917 а те бяха пуснали техен си пачнат rpm за центос

иначе 2:54 utc (gmt без деилаит свеивинг)
в 5:54 сутринта бг време е пушнат ъпдейта http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html

пакет който замени 5.6 на 5.7 само scientific linux няма ъпдейт до някое време следобеда...
 

garnet

Well-Known Member
Re: От: Security Exploit: OpenSSL HeartBleed Bug

е хубаво всички да си регенерират сертификатите с нови ключове.
Ако е платено вече по Ваша преценка.

Това кво означава?
Аз имам апач с ххтпс. За него преди генерирах серификат, самоподписан.
Сега означава ли, че след ъпдейт на опенссл, трябва да затрия стария сертификат и да генерирам нов?
И да рестартирам апача?

Мисля, че ъпдейтнах опенссл, но при проверка ми дава, че още съм уязвим.
Още не съм сменил сертификата и не съм рестартирал pi-я. Реснах обаче апача. Дали е от това?
 

s1yf0x

Well-Known Member
От: Re: От: Security Exploit: OpenSSL HeartBleed Bug

Това кво означава?
Аз имам апач с ххтпс. За него преди генерирах серификат, самоподписан.
Сега означава ли, че след ъпдейт на опенссл, трябва да затрия стария сертификат и да генерирам нов?
И да рестартирам апача?

Мисля, че ъпдейтнах опенссл, но при проверка ми дава, че още съм уязвим.
Още не съм сменил сертификата и не съм рестартирал pi-я. Реснах обаче апача. Дали е от това?

Баш това означава. Нов .key , нов .crt
 

r.stefanov

New Member
От: Security Exploit: OpenSSL HeartBleed Bug

@r.stefanov Дебиан/Убунту сами рестартират приложенията. За CentOS е нужно да се рестартират.

От вчера до сега съм обновил около 100 сървъра с Ubuntu 12.04 LTS. Знаеш ли колко от тях рестартираха който и да е процес използващ shared библиотеките за openssl? - 0 Ако обновиш Apache (примерно), да, тогава го рестартира. Само че в случая е openssl. Мързи ме да пускам output от конзолата.

P.S. - да живее scope
 

garnet

Well-Known Member
Re: От: Security Exploit: OpenSSL HeartBleed Bug

Въпроси към експертите. Знам че акъл не може да се набие като х.., но все пак ми се иска да се понауча.
Ето въпрос:
след ъпдейт на опенссл и растарт на апача - сайта още беше уязвим (според проверката по-горе). След като ре-генерирах сертификата - вече не беше.
Защо стана така - проблема не е ли в опенссл. Сертификата е просто текст файл, генериран с опенссл.
Е това не ми е ясно.
 

dragozh

Active Member
От: Security Exploit: OpenSSL HeartBleed Bug

Проблем известен в някои затворени групи и форуми от година година и половина. Ако си мислите, че фиксвате и няма други проблеми във въпросната библиотека сте в заблуда. От около 8-9 месеца в същите затворени групи/форуми са се появили и куп други проблеми чрез които влизането в отдалечена машина без нужда от какъвто и да е потребител и парола става. като детска игра. Та, ако искате да спите спокойно просто е нужно да си направите правилен дизайн на инфраструктурата или да ползвате такава.
 

s1yf0x

Well-Known Member
От: Re: От: Security Exploit: OpenSSL HeartBleed Bug

Въпроси към експертите. Знам че акъл не може да се набие като х.., но все пак ми се иска да се понауча.
Ето въпрос:
след ъпдейт на опенссл и растарт на апача - сайта още беше уязвим (според проверката по-горе). След като ре-генерирах сертификата - вече не беше.
Защо стана така - проблема не е ли в опенссл. Сертификата е просто текст файл, генериран с опенссл.
Е това не ми е ясно.

Има промяна в начина, по който новата версия на openssl генерира .key и .csr . Ако примерно ключа и csr-a са генерирани на стар сървър с версия на openssl под 1.0.0 дори и сървъра на който си инсталирал сертификата да има версия 1.0.1 (уязвима), горната проверка, че ти изведе съобщение, че всичко е ОК. Затова горната проверка е пълен ташак, а цялата параноя е пълен ПР.
 

r.stefanov

New Member
От: Re: От: Security Exploit: OpenSSL HeartBleed Bug

Има промяна в начина, по който новата версия на openssl генерира .key и .csr . Ако примерно ключа и csr-a са генерирани на стар сървър с версия на openssl под 1.0.0 дори и сървъра на който си инсталирал сертификата да има версия 1.0.1 (уязвима), горната проверка, че ти изведе съобщение, че всичко е ОК. Затова горната проверка е пълен ташак, а цялата параноя е пълен ПР.

PR или не, по-добре да си вържеш гащите от колкото по кофти начин да разбереш. Аз предпочитам да вярвам на developer-ите на CentOS и Debian пред форуимите. До сега не са ме подвеждали. А бъга е сериозен както и да го погледнеш, нищо че със закъснение се обяви.
 

Горе