Auf dieser Seite
- Finden Sie heraus, ob Ihr Server betroffen ist
- Beheben Sie die Schwachstelle
- Überprüfen Sie, ob das Linux-Update das richtige Paket installiert hat
Version 1.2
Autor:Till Brehm
Folgen Sie Howtoforge auf Twitter
In OpenSSL wurde eine schwerwiegende Schwachstelle gefunden, die Schwachstelle heißt Heartbleed und betrifft die Heartbeat-Implementierung in OpenSSL Version 1.0.1 bis Version 1.0.1f. Diese Schwachstelle kann genutzt werden, um den privaten Schlüssel einer SSL-Verbindung zu erhalten, daher ist es wichtig, den Server sofort zu aktualisieren. Der Fehler ist in OpenSSL 1.0.1g behoben. Alle wichtigen Linux-Distributionen haben Release-Updates für die Schwachstelle.
Finden Sie heraus, ob Ihr Server betroffen ist
Führen Sie den Befehl aus:
openssl-Version
um die Versionsnummer von openssl zu erhalten. Zeigt der Befehl z.B.:
openssl-Version
OpenSSL 1.0.1e 11. Februar 2013
dann ist Ihr Server möglicherweise anfällig, da die Version unter 1.0.1g liegt. Aber einige Patch-Pakete von Linux-Distributionen finden Sie unten, um herauszufinden, ob das Paket auf Ihrem Server gepatcht wurde.
Wenn Ihr Server eine 0.9.8-Version verwendet, wie sie auf Debian Squeeze verwendet wird, dann ist der Server nicht anfällig, da die Heartbeat-Funktion nur in OpenSSL 1.0.1 und späteren Versionen implementiert wurde.
openssl-Version
OpenSSL 0.9.8o 1. Juni 2010
Beheben Sie die Schwachstelle
Um die Schwachstelle zu beheben, installieren Sie die neuesten Updates für Ihren Server.
Debian
apt-get update
apt-get upgrade
Ubuntu
apt-get update
apt-get upgrade
Fedora und CentOS
Yum-Update
OpenSuSE
Zypper-Update
Starten Sie dann alle Dienste neu, die OpenSSL verwenden. Starten Sie auf einem ISPConfig 3-Server z. Diese Dienste (wenn sie installiert sind):sshd, apache, nginx, postfix, dovecot, courier, pure-ftpd, bind und mysql. Wenn Sie absolut sicher sein wollen, dass Sie keinen Dienst verpasst haben, starten Sie den gesamten Server neu, indem Sie "reboot" auf der Shell ausführen.
Überprüfen Sie, ob das Linux-Update das richtige Paket installiert hat
Nachdem Sie die Linux-Updates installiert haben, überprüfen Sie, ob das openssl-Paket korrekt aktualisiert wurde. Einige Linux-Distributionen
Patch-Pakete, daher zeigt "openssl version" nicht immer an, ob der richtige Patch installiert wurde, der die Schwachstelle behebt.
Prüfen Sie das Paket auf Debian und Ubuntu:
dpkg-query -l 'openssl'
Hier die Ausgabe für einen korrekt gepatchten Debian 7 (Wheezy) Server:
dpkg-query -l 'openssl'
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err:uppercase=schlecht)
||/ Name Version Architektur Beschreibung
+++-==================-===============-=============--============================================
ii openssl 1.0.1e-2+deb7u5 amd64 Secure Socket Layer (SSL) binär und verwandt
Verwenden Sie für Fedora und CentOS diesen Befehl, um den Namen des installierten Pakets zu finden:
U/min -qa | grep openssl
Hier sind die Links zu den Versionshinweisen, die die Paketnamen der gefixten Versionen enthalten:
Debian:http://www.debian.org/security/2014/dsa-2896
Ubuntu:http://www.ubuntu.com/usn/usn-2165-1/
Fedora:https ://lists.fedoraproject.org/pipermail/announce/2014-April/003206.html
CentOS:http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
Test
Es ist jetzt ein Test verfügbar, um zu überprüfen, ob Sie die Sicherheitslücke in Ihrem Server erfolgreich geschlossen haben. Den Test finden Sie hier:
http://filippo.io/Heartbleed/
Fragen und Antworten zu diesem Thema im howtoforge-Forum
Fragen und Antworten zu diesem Thema im Howtoforge-Forum:
https://www.howtoforge.com/forums/showthread.php?t=65498