Wenn Sie feststellen, dass Ihre Produktionsmaschinen die OpenSSL-Versionen 1.0.1, 1.0.0 und 0.9.8 verwenden, dann ist hier eine schwerwiegende Schwachstelle, die im März 2015 gemeldet wurde – OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291) und neu klassifiziert:RSA stillschweigend Downgrades auf EXPORT_RSA [Client] (CVE-2015-0204).
Nun, die beiden oben genannten wurden unter den mehreren hier gemeldeten Sicherheitslücken als hoch eingestuft. Die Liste der betroffenen OpenSSL-Versionen ist 1.0.1, 1.0.0 und 0.9.8. Laut den Berichten des OpenSSL-Release-Teams sind die Schwachstellen nicht schwerwiegend, da der Heartbleed-Bug im April 2014 gefunden wurde. Ein Upgrade auf die neueste Version verhindert jedoch Denial-of-Service-Angriffe.
Die identifizierten Schwachstellen können behoben werden, indem Sie die OpenSSL-Version auf Ihren Systemen aktualisieren, auf denen CentOS, RHEL, Debian und Ubuntu ausgeführt werden.
Sehen wir uns an, wie OpenSSL aktualisiert wird,
Voraussetzung :ROOT-Privilegien
Wie finde ich die installierte Version von OpenSSL?
$ openssl version OpenSSL 1.0.1e-fips 11 Feb 2013
(ODER)
$ yum list installed openssl openssl.x86_64 1.0.1e-16.el6_5.4 @updates
Die ‘openssl-Version ‘-Befehl sollte auch auf Debian und Ubuntu funktionieren. Alternativ können Sie den folgenden Befehl ausführen.
[debian/ubuntu ] $ sudo dpkg -l | egrep '^ii.*openssl'
Fix/Patch OpenSSL durch Upgrade auf die neueste Version
$sudo yum update openssl
Beispielausgabe:
Setting up Update Process Resolving Dependencies --> Running transaction check ---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated --> Processing Dependency: openssl = 1.0.1e-16.el6_5.4 for package: openssl-devel-1.0.1e-16.el6_5.4.x86_64 ---> Package openssl.x86_64 0:1.0.1e-30.el6.8 will be an update --> Running transaction check ---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated ---> Package openssl-devel.x86_64 0:1.0.1e-30.el6.8 will be an update --> Finished Dependency Resolution Dependencies Resolved ============================================================================================================================================================= Package Arch Version Repository Size ============================================================================================================================================================= Updating: openssl x86_64 1.0.1e-30.el6.8 updates 1.5 M Updating for dependencies: openssl-devel x86_64 1.0.1e-30.el6.8 updates 1.2 M Transaction Summary ============================================================================================================================================================= Upgrade 2 Package(s) Total download size: 2.7 M Downloading Packages: (1/2): openssl-1.0.1e-30.el6.8.x86_64.rpm | 1.5 MB 00:08 (2/2): openssl-devel-1.0.1e-30.el6.8.x86_64.rpm | 1.2 MB 00:08 ------------------------------------------------------------------------------------------------------------------------------------------------------------- Total 156 kB/s | 2.7 MB 00:17 Running rpm_check_debug Running Transaction Test Transaction Test Succeeded Running Transaction Updating : openssl-1.0.1e-30.el6.8.x86_64 1/4 Updating : openssl-devel-1.0.1e-30.el6.8.x86_64 2/4 Cleanup : openssl-devel-1.0.1e-16.el6_5.4.x86_64 3/4 Cleanup : openssl-1.0.1e-16.el6_5.4.x86_64 4/4 Verifying : openssl-1.0.1e-30.el6.8.x86_64 1/4 Verifying : openssl-devel-1.0.1e-30.el6.8.x86_64 2/4 Verifying : openssl-1.0.1e-16.el6_5.4.x86_64 3/4 Verifying : openssl-devel-1.0.1e-16.el6_5.4.x86_64 4/4 Updated: openssl.x86_64 0:1.0.1e-30.el6.8 Dependency Updated: openssl-devel.x86_64 0:1.0.1e-30.el6.8 Complete!
Auf Debian- und Ubuntu-Rechnern :
[debian/ubuntu ] $ apt-get update [debian/ubuntu ] $ apt-get upgrade
Nun, Sie hatten OpenSSL aktualisiert. Jetzt können Sie Ihren Server neu starten oder die Dienste neu starten, die OpenSSL verwenden.
Wie finde ich heraus, welche Dienste OpenSSL verwenden?
Der folgende Befehl listet die Dienste auf, die derzeit ausgeführt werden und die OpenSSL-Bibliothek verwenden.
$lsof | grep libssl | awk '{print $1}' | sort | uniq
data-down
httpd
master
mysqld
php
pickup
postmaste Starten Sie alle Dienste neu und fertig, Sie haben die Schwachstellen in OpenSSL-Version 1.0.2, 1.0.1, 1.0.0 und 0.9.8 behoben.
Hinweis: Auch wenn ich diesen Beitrag in Zukunft nicht mehr aktualisiere, sollten Sie sicherstellen, dass Ihr System immer mit den neuesten Patches aktualisiert wird.
Lesen Sie auch:Liste nützlicher OpenSSL-Befehle