web-dev-qa-db-ja.com

Debian jessieのnginxに対するOpenSSL Padding Oracleの脆弱性(CVE-2016-2107)を修正する方法

私が理解している限り、opensslをアップグレードして(かなり前に行われましたが、利用可能なすべての更新を再度インストールし(opensslはありません))、nginxを再起動するだけで十分です。私はnginxを完全に停止し(psで確認)、再度開始しようとしました。

しかし、ssllabsはまだ私が脆弱であることを教えてくれます。他に何をする必要がありますか、それとも脆弱性を引き起こしている可能性のあるものは何ですか?

バージョン:

ii  nginx                              1.9.10-1                          all          small, powerful, scalable web/proxy server
ii  nginx-common                       1.9.10-1                          all          small, powerful, scalable web/proxy server - common files
ii  nginx-full                         1.9.10-1                          AMD64        nginx web/proxy server (standard version)
ii  openssl                            1.0.1t-1+deb8u2                   AMD64        Secure Sockets Layer toolkit - cryptographic utility

ii  libssl-dev:AMD64                   1.0.1t-1+deb8u2                   AMD64        Secure Sockets Layer toolkit - development files
ii  libssl-doc                         1.0.1t-1+deb8u2                   all          Secure Sockets Layer toolkit - development documentation
ii  libssl1.0.0:AMD64                  1.0.1t-1+deb8u2                   AMD64        Secure Sockets Layer toolkit - shared libraries
ii  libssl1.0.2:AMD64                  1.0.2f-2                          AMD64        Secure Sockets Layer toolkit - shared libraries

nginxに関連するlsof

lsof 2>/dev/null |grep -i libssl|grep nginx
nginx     17928              root  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17929          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17930          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17932          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
nginx     17933          www-data  mem       REG              251,0    430560    2884885 /usr/lib/x86_64-linux-gnu/libssl.so.1.0.2
2
allo

わかった。

1.0.2f-2をインストールしたdebian不安定版からcertbotをインストールしました。不安定版は優先度「-100」に固定されています(-t unstableで要求されない限り、不安定版からインストールしないでください)。これは、バージョンがjessieバージョン1.0.0X-Yと現在の不安定バージョン1.0.2.h-1の間にあることを意味します。これにより、unstableでの次のバージョンへのアップグレードが妨げられましたが、stableでのアップグレードは、バージョン番号に関して「古い」バージョンです。

2
allo

必要な更新プログラムをインストールすると(コメントで https://serverfault.com/users/126632/michael-hampton で提案されているように)、問題が解決したようです。

apt-get update && apt-get upgrade
1
drinchev

Debian Wheezyサーバーでも同様の問題がありました。 https://www.ssllabs.com/ssltest/ は常に私のサーバーがCVE-2016-2107に対して脆弱であることを示していました。 (私の意見では)同じ構成を持つ他のサーバーには、このセキュリティの問題はありませんでした。

openssl、Apache、php-すべて同じバージョンで同じ設定。

調査の結果、この特定のサーバーにmod_spdyがインストールされ、アクティブ化されていることがわかりました。

Mod_spdyをアンインストールした後、問題は解決しました。

dpkg -r mod-spdy-beta 
dpkg -P mod-spdy-beta

から https://stackoverflow.com/questions/25593257/how-do-i-remove-spdy-mod-spdy

0
Martin Seitl