web-dev-qa-db-ja.com

centosアップグレードopenssl-CVE-2016-0800-溺死攻撃

古いopensslバージョンで発見された最近の脆弱性のため、アップグレードする必要があります。

しかし、Centosリポジトリには現在のバージョンがありません...追加およびアップグレードできる信頼できるリポジトリはありますか?

Openssl1.0.1の現在のバージョンが必要です。ここに記載されているように、1.0.1e_42.el6_7.4(CENTOS 6の場合)だと思います: https://www.linuxos。 pro/drown-attack-cve-2016-0800 /

安全にアップグレードする方法はありますか(私はものを作成/コンパイルすることをいじりたくなく、手動でアップグレードする必要があります)。

Apache、postfixなどのサービスの設定も更新する必要がありますか?

securitycentosupdatesopensslpackages
2
mfuesslin

CentOSパッケージは、Red Hat EnterpriseLinuxのソースから再構築されます。 Red Hat セキュリティ修正をバックポートする パッケージに。つまり、バージョンは古いように見えますが、セキュリティの脆弱性を修正するためにパッチが適用されています。たとえば、特に懸念しているCVEの場合、セキュリティエラッタへのリンクが見つかります ここ 。そこにあるリンクをたどると、openssl-1.0.1e-42.el6_7.4にCVE-2016-0800のパッチが適用されていることがわかります。

2
carlwgeorge

さて、私はdrownattack.comで脆弱なサーバーを調べました。

脆弱なポート(POP3、IMAP、443など)が表示されました。「yumupdate」を介して最新のopensslに更新しました。これは、すでにパッチが適用されています( https://www.linuxos.pro/drown-による) attack-cve-2016-0800 / ):"openssl-1.0.1e-42.el6_7.4 "。

私のサービス(Apacheとpostfix)でsslv2を無効にするには-念のため:

Httpd(/etc/httpd/conf.d/ssl.conf)とコメント解除された行「#SSLProtocols ...」の構成を編集し、編集しました。

SSLProtocol All -SSLv2 -SSLv3

それをテストします(Apacheを再起動した後):

openssl s_client -ssl2 -connect www.example.com:443

取得:

CONNECTED(00000003)
140313005905736:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

したがって、無効になります。現在postfix:/etc/postfix/main.cfを編集し、下部に追加しました:

smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3

テストしました(後置を再起動した後、例:POP3):

openssl s_client -connect x.x.x.x:110 -starttls pop3 -ssl2

持った

CONNECTED(00000003)
140110128891720:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

そしてそれも無効になっています。

1
mfuesslin

DROWNとPOODLEのために「A」よりも低い成績/評価を与えるQualysSSLLabs証明書テストについて心配している人のために、これらのリンクはこれを行うための最良の方法を提供します:

https://access.redhat.com/solutions/123241

そして

https://blog.qualys.com/ssllabs/2013/03/19/rc4-in-tls-is-broken-now-what#comment-864

EC2インスタンスでこの問題が発生し、AWS技術者からの適切なサポートを受けて、すべてのSSL構成ディレクティブを各VirtualHostディレクティブに含める必要があることがわかりました。 )正しく機能するため。

<VirtualHost *:443>
    DocumentRoot ...
    ServerName ...
    ServerAlias ...
    SSLEngine ON
    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
    SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM \
        EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 \
        EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 \
        EECDH EDH+aRSA \
        !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
    SSLHonorCipherOrder on
    SSLCertificateFile /etc/httpd/conf/ssl.crt/...
    SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/...
    SSLCACertificateFile /etc/httpd/conf/ssl.crt/...
    ErrorLog logs/...
    CustomLog logs/... combined
</VirtualHost>

上記のSSLCipherSuiteの値は、新しい脆弱性が見つかった場合、または一部の暗号が弱いと思われる場合などに変更する必要があります。

SSL設定を定期的にテストすることをお勧めします。

編集:これは、opensslライブラリを1.0.1e_42.el6_7.4にアップグレードすることに加えて(CENTOS 6の場合)

0
site80443