このサーバーは、OpenSSLパディングOracleの脆弱性(CVE-2016-2107)に対して脆弱であり、安全ではありません。グレードをFに設定
SSL LABSでドメイン名を確認しており、グレードFを取得しています
そして私はこのメッセージを受け取りました
This server is vulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107) and insecure. Grade set to F.
私はUbuntuを使用しており、次の手順を実装しています:-
**Sudo apt-get update && Sudo apt-get upgrade**
そして次のステップ
- Sudo apt-get install make(コンパイルライブラリMakeのインストール)
- wget https://www.openssl.org/source/openssl-1.0.2g.tar.gz
- tar -xzvf openssl-1.0.2g.tar.gz
- cd openssl-1.0.2g
- Sudo ./config
- Sudo make install
- Sudo ln -sf/usr/local/ssl/bin/openssl
which openssl
この後、このコマンドopenssl version -vを実行し、結果を取得しましたOpenSSL 1.0.2g 2016年3月1日
なぜ** OpenSSLのOracleパディングの脆弱性(CVE-2016-2107)の問題が発生するのか?**私のubuntuバージョンは
Distributor ID: Ubuntu
Description: Ubuntu 14.04.5 LTS
Release: 14.04
前もって感謝します。
OpenSSLの脆弱なバージョンを使用しているため、この結果が得られています... OpenSSL Vulnerabilities ページ(2107のページでこのCVEを検索してください)を確認すると、そうではないことがわかりますOpenSSL 1.0.2hまで修正されました。 1.0.2gは脆弱です。とにかく、wget 1.0.2gを選択するのはなぜですか。 1.0.2ブランチの現在のバージョンは1.0.2jで、9月下旬にリリースされました。
Ubuntu 14.04リポジトリに危険なほど古いバージョンのOpenSSLがある理由を尋ねている場合、私は2つの応答しか提供できません。
- あなたはUbuntuを使用していますが、私の経験では、ソフトウェアを古いバージョン(LTSバージョンでさえも)にバックポートすることについてあまり良くありません。 24か月の境界線を越えると、熱い岩のようにあなたを落とします。
- Ubuntuのバージョンは2.5年前のものであり、16.04(または16.10)に移行する必要があります。
OpenSSL 1.0.2hは1.0.2gの2か月後にリリースされ、その間に14.04 Ubuntuビルドの2年間のサポート期間から外れたため、彼らはそれについて気にするのをやめました。 Ubuntu 16.04または16.10で問題ないか、または2年以上セキュリティ修正をバックポートするディストリビューション(確かに、多くはそうではありません)です。
アップグレードするには、コマンドラインからコマンドSudo do-release-upgrade(詳細については このページ を参照)を使用します。 LTS(長期サポート)ビルドは、新しいLTSビルドにのみアップグレードされます。アップグレード自体にはしばらく時間がかかりますが、その後、Ubuntu 16.04を実行し、そのリポジトリにアクセスできるようになります。これにより、少なくともそのバージョンのサポート期間がさらに17か月間終了するまで、ソフトウェアを最新の状態に保つことができます。
アップグレード後、Sudo apt-get update && Sudo apt-get upgradeを再度実行して、すべてのパッケージが最新であることを確認する必要があります。
Apacheをウェブサーバーとして使用しているとすると、TLS処理を実行する責任があるライブラリは/usr/lib/Apache2/modules/mod_ssl.so、まだそこにあり、システム全体にインストールされたopensslライブラリにリンクされています。
Mod_sslも再コンパイルする必要があります。または、できれば、opensslパッケージを更新して、セキュリティ修正を適用する必要があります(@Ariaがすでにコメントで指摘しているように)。