web-dev-qa-db-ja.com

OpenSSLを更新した後でもサーバーがハートブリードに対して脆弱です

Ubuntu 12.04サーバーがあります。ハートブリードの脆弱性を修正するために、OpenSSLパッケージを更新しました。しかし、Webサーバー、さらにはサーバー全体を再起動しても、まだ脆弱です。

私が使用した脆弱性を確認するには:

dpkgは以下を提供します:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

ubuntunginxsecurityopensslheartbleed
28
user3301260

libssl1.0.0パッケージも更新され(そのパッケージには実際のライブラリが含まれ、opensslパッケージにはツールが含まれています)、ライブラリを使用するすべてのサービスがアップグレード後に再起動されました。

Openssl(サービスApache再起動)を使用してすべてのサービスを再起動する必要があります。

29
Håkan Lindqvist

[〜#〜] faq [〜#〜] に従って、可能性がありますあなたは誤検知のケースです

誤検知(赤)が発生しています。

ボタンをハンマーで叩いているサイトで不具合が発生しない限り、私は赤が赤ではないと考えることはできません。

メモリダンプを確認します。メモリダンプがある場合は、ツールがどこかから取得します。

正しく更新した後にすべてのプロセスを再起動した場合、見栄えが良くなると私が99%確信しているとしましょう。

更新:それでも、影響を受けていないバージョンが赤くなるという報告が一貫して得られます。影響を受ける場合は 問題へのコメント にアクセスしてください。私は3つのことを探しています。メモリダンプ(それらがどこから来たかを把握するため)、タイムスタンプ(できるだけ正確、[ネットワーク]タブを試してください)、クリックして入力した内容の完全な説明。

SSLLabs などの別のツールを使用してサイトをテストし、脆弱であると報告されているかどうかを確認できます。
上記の http://filippo.io/Heartbleed テスターでも問題を報告する必要があります。

3
voretaq7

[〜#〜] faq [〜#〜] ページにリストされているバグが発生している可能性があります。特定の状況下では、パッチを適用したシステムでも脆弱な通知を受け取る可能性があるようです。

誤検知(赤)が発生しています。

ボタンをハンマーで叩いているサイトで不具合が発生しない限り、私は赤が赤ではないと考えることはできません。メモリダンプを確認します。メモリダンプがある場合は、ツールがどこかから取得します。正しく更新した後にすべてのプロセスを再起動した場合、見栄えが良くなると私が99%確信しているとしましょう。

更新:それでも、影響を受けていないバージョンが赤くなるという報告が一貫して得られます。影響を受ける場合は、問題にコメントしてください。私は3つのことを探しています。メモリダンプ(それらがどこから来たかを把握するため)、タイムスタンプ(できるだけ正確、[ネットワーク]タブを試してください)、クリックして入力した内容の完全な説明。

Qualys などの代替テストを使用してテストし、システムに脆弱性がないことを確認することをお勧めします。 Github にアクセスできない場合は、報告してください。

まだ壊れています

とは?あなたが話している「サーバー」は静的にリンクされたOpenSSlライブラリを持っているかもしれません。これは、システムを更新しても、アプリケーションが危険にさらされていることを意味します。パッチを入手するか、完了するまでサービスをオフにするには、ソフトウェアベンダーにすぐに連絡する必要があります。

パッチがリリースされるまで、本当にサービスを無効にする必要がありますか?

はい、脆弱なサービスを実行することは非常に危険であり、過失の可能性があります。サーバーがトランスポートから復号化したデータを漏洩していて、それを知らない可能性もあります!

2
Jacob

おそらく、静的にリンクされたopensslライブラリを持つ443でリッスンするプログラムを使用している可能性があります。つまり、プログラムには独自のopensslがパッケージされています。このプログラムも更新してください!利用できない場合は、ベンダーに即時に通知し、可能な場合はこのアプリケーションを一時停止してください。

2
Nathan C

Mod_spdyを実行している場合は、必ずmod_spdyインストールを更新してください。詳細は https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KT を参照してください。 mod_spdy debをアップグレードするか、以前のバージョンを完全に削除する必要があります。

2
lewing

Nginxがシステムライブラリを使用していることを確認してください: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/

1
VBart

これは、443で実行されているアプリケーションがOpenSSLの静的ライブラリを使用している場合に非常に可能です。これが事実である場合、あなたはもはや脆弱ではないようにそれアプリケーションを更新する必要があります。

0
Nathan C

ようやくOPと同様の問題を修正することができました。私のサーバーはBitnamiのLAMPスタックです。これらの指示に従ってください:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/Apache-error-after-the-recommended-heartbleed-patch/23530/9

0
Matt