Как исправить уязвимость [CVE-2014-0224] в OpenSSL?

7

Я получил предупреждение от органа, сгенерировавшего мой сертификат, он говорит, что в OpenSSL есть ошибка, и это было обнаружено, затрагивая версии 1.0.1.

Как я понимаю, мне нужно обновиться до 1.0.1h , чтобы исправить эту ошибку.

Это первый раз, когда я занимаюсь этими вещами, и я беспокоюсь о том, как это повлияет на мой сервер.

Нужно ли перезапускать какие-либо службы? И что именно? Я должен убедиться, что это не займет слишком много времени.

    
задан Shadin 07.06.2014 в 11:48
источник

3 ответа

4

Ответ не отвечает на вопрос, и, поскольку последний пакет для x86_64 14.04, последняя информация о пакете openssl (если у других есть трудности, сообщите мне):

openssl:
  Installed: 1.0.1f-1ubuntu2.3
  Candidate: 1.0.1f-1ubuntu2.3
  Version table:
 *** 1.0.1f-1ubuntu2.3 0
        500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty-updates/main amd64 Packages
        500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty-security/main amd64 Packages
        500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu/ trusty-security/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1f-1ubuntu2 0
        500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty/main amd64 Packages
        500 http://us.archive.ubuntu.com/ubuntu/ trusty/main amd64 Packages

Я уже возился с установкой / обновлением версии 1.0.1h из ЗДЕСЬ пока не повезло, когда я сделаю некоторый прогресс, я вернусь.

***** UPDATE: Итак, я нашел решение в другом потоке, который нужно было обновить (исходное сообщение указано ниже): **

Ниже одной командной строки для компиляции и установки последней версии openssl.

curl https://www.openssl.org/source/openssl-1.0.1h.tar.gz | tar xz && cd openssl-1.0.1h && sudo ./config && sudo make && sudo make install

Заменить старый двоичный файл openssl новым с помощью символической ссылки. Перейдите в / usr / bin в терминале и выполните команду ниже

sudo ln -sf /usr/local/ssl/bin/openssl 'which openssl'

Перезагрузитесь, и вы хорошо пойдете. Возможно, вам понадобится / нужно создать новые сертификаты. Вот исходная тема / сообщение, которое я обновил. ИСТОЧНИК

Мой вывод после запуска команд и перезагрузки:

OpenSSL 1.0.1h 5 Jun 2014
built on: Sat Jun 14 22:43:13 EDT 2014
platform: linux-x86_64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -DTERMIO -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
    
ответ дан JohnRB 15.06.2014 в 02:28
источник
6
  1. Убедитесь, что у вас имеется поддерживаемый релиз: 10.04-сервер, 12.04, 14.04 или 13.10.

    ~$ lsb_release -a
    No LSB modules are available.
    Distributor ID: Ubuntu
    Description:    Ubuntu 12.04.4 LTS
    Release:    12.04
    Codename:   precise
    
  2. Убедитесь, что вы установили последние обновления. sudo apt-get update && sudo apt-get upgrade

  3. Verify. apt-cache policy openssl должно отображаться как установленная версия 1.0.1-4ubuntu5.14 .

    apt-cache policy openssl
    openssl:
      Installed: 1.0.1-4ubuntu5.14
      Candidate: 1.0.1-4ubuntu5.14
      Version table:
     *** 1.0.1-4ubuntu5.14 0
            500 http://archive.ubuntu.com/ubuntu/ precise/main i386 Packages
            500 http://archive.ubuntu.com/ubuntu/ precise-security/main i386 Packages
            500 http://archive.ubuntu.com/ubuntu/ precise-updates/main i386 Packages
            100 /var/lib/dpkg/status
    
  4. Чтобы быть уверенным, перезагрузите любые службы или систему.

ответ дан mikewhatever 07.06.2014 в 12:05
0

Уязвимость затрагивает клиентов OpenSSL. Клиенты, использующие версии OpenSSL ниже 1.0.1, подключаются к серверам под управлением OpenSSL версий 1.0.1 и выше, уязвимы и должны быть обновлены.

Команда OpenSSL выпустила новые версии .

Единственный способ исправить это - установить обновленные пакеты OpenSSL и перезапустить связанные службы. В это время это не вызывает утечки сертификата или секретного ключа.

Для получения дополнительной информации см. здесь

    
ответ дан Mitch 07.06.2014 в 12:25