CloudLinux bietet erweiterten Support bis 2024, um Ihre CentOS 6-Server vor einer neuen OpenSSL-Schwachstelle zu schützen.
OpenSSL hat vor Kurzem einen Sicherheitspatch für einen Fund auf hoher Ebene veröffentlicht, der alle Server mit den Versionen 1.0.2 und 1.1.1 betrifft. Leider hat OpenSSL angekündigt, dass es keine Patches für CentOS 6, sondern nur CentOS 7 und CentOS 8 veröffentlichen würde. Dadurch bleibt jeder Server, auf dem ungepatchtes OpenSSL ausgeführt wird, einschließlich des Betriebssystems CentOS 6, anfällig für Denial-of-Service (DoS), wo Software, kritische Dienste, oder das Betriebssystem könnte abstürzen. CloudLinux wird jedoch aktuelle Versionen von OpenSSL, die nicht unterstützte Version 1.0.1 und Server mit dem Betriebssystem CentOS 6 patchen.
Details zur Schwachstelle für CVE-2020-1971
OpenSSL hat eine Funktion namens GENERAL_NAME_cmp()
die zwei Parameter vergleicht und die folgenden zwei Aktionen durchführt:
- Vergleicht ein X.509-Zertifikat mit Einträgen in einer Zertifikatsperrliste (CRL).
- Vergleicht einen Zeitstempel des Unterzeichners des Antworttokens mit dem Zeitstempel eines Autoritätsnamens.
Die Funktion ist wichtig bei der sicheren Kommunikation, um sicherzustellen, dass das Zertifikat nicht widerrufen wurde. Zertifizierungsstellenorganisationen (CA) widerrufen Zertifikate aus mehreren Gründen. Wenn die privaten Schlüssel eines Servers aufgrund einer Kompromittierung gestohlen werden, widerruft eine Zertifizierungsstelle Zertifikate, um die Integrität der Kommunikation zu schützen. Andere Gründe für die Sperrung sind Zertifikatsmissbrauch und die Veröffentlichung eines neuen Zertifikats, die Kompromittierung der Zertifizierungsstelle oder die Erstellung von Zertifikaten durch die Zertifizierungsstelle ohne Genehmigung des Domäneninhabers. In jedem dieser Fälle könnte sich ein Angreifer als Zieldomäne ausgeben und Benutzer dazu verleiten, einer Website zu vertrauen, was dann zu einem ausgeklügelten Phishing-Angriff und der Offenlegung sensibler Daten führen könnte.
Wenn ein Angreifer beide an GENERAL_NAME_cmp()
übergebenen Parameter kontrollieren kann Funktion wird eine DoS-Bedingung erfüllt, wenn beide Parameter vom gleichen Typ sind. Ein Google-Forscher, der die Schwachstelle fand, konnte eine Proof-of-Concept-Demonstration durchführen, indem er der Funktion zwei Parameter des Typs EDIPartyName
übergab , definiert im OpenSSL-Code.
Der Patch für die Schwachstelle, zugewiesene ID CVE-2020-1971 , wurde am 8. Dezember 2020 veröffentlicht. Änderungen am Open-Source-Code finden Sie im Github-Repository von OpenSSL . Sie können mehr über die Schwachstelle in der Ankündigung von OpenSSL lesen Seite.
Was kann passieren, wenn OpenSSL nicht gepatcht wird?
Während Remote Code Execution (RCE) kein Problem darstellt, könnten nicht gepatchte Server DoS und möglicherweise einer DDoS-Bedingung (Distributed Denial-of-Service) ausgesetzt sein, bei der Dienste offline geschaltet und für Benutzer nicht verfügbar sein könnten. Kritische Server, die für die Unternehmensproduktivität verfügbar bleiben müssen oder online sein müssen, um Service Level Agreements zu erfüllen, könnten ein Ziel für Angreifer sein. CVE hat die Risikostufe auf „Hoch“ gesetzt, was bedeutet, dass es als ernsthafte Schwachstelle für Unternehmen angesehen wird. Nur Sicherheitslücken mit der Bezeichnung „Kritisch“ sind schwerwiegender, und diese Sicherheitslücken treten etwa alle fünf Jahre auf.
Mitigation mit erweitertem Support für CentOS 6 und/oder KernelCare+
CloudLinux Extended Support für CentOS 6 stellt seinen Kunden diesen Sicherheitspatch zur Verfügung. Das End-of-Life (EOL) für CentOS 6 war im November 2020, aber CloudLinux bietet erweiterten Support bis 2024, um Server vor openSSL-Schwachstellen zu schützen, bis Administratoren auf neuere Versionen des Betriebssystems upgraden können. Um sich für erweiterten Support anzumelden, füllen Sie dieses Formular aus .
KernelCare bietet auch Live-Patching-Unterstützung für OpenSSL sowie mehrere andere gemeinsam genutzte Bibliotheken .
Installieren von CloudLinux Extended Support für CentOS 6
Die Installation von CloudLinux Extended Support erfordert nur wenige Befehle.
Laden Sie das Installationsskript herunter:
wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.py
Führen Sie das Installationsskript aus (beachten Sie, dass Sie Ihren Lizenzschlüssel benötigen):
python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX
Der obige Befehl installiert das centos-els-release
Paket, das den PGP-Schlüssel des Repositorys enthält. Sie können sicherstellen, dass die Installation abgeschlossen ist, indem Sie den folgenden Befehl ausführen:
rpm -q centos-els-release
Die Ausgabe des obigen Befehls sollte Folgendes anzeigen:
centos-els-release-6-6.10.1.el6.x86_64
Hinweis: Die bestehenden Kunden, die CentOS am 1. Dezember 2020 noch ausführen, wurden automatisch auf EOL-Support umgestellt.
Installation von KernelCare+
KernelCare+ ist so einfach wie die Installation von CloudLinux ES. Um KernelCare+ zu installieren, führen Sie einen der folgenden Befehle aus:
curl -s -L https://kernelcare.com/installer | bash
Oder,
wget -qq -O - https://kernelcare.com/installer | bash
Weitere Informationen zur Installation von KernelCare+ finden Sie in der offiziellen Dokumentation .
Schlussfolgerung
Forscher weisen darauf hin, dass diese OpenSSL-Schwachstelle viel schwieriger auszunutzen ist, aber das bedeutet nicht, dass Sie das Patchen Ihrer Server verzögern sollten. Egal, ob Sie dies manuell tun, auf die neuere Version von OpenSSL upgraden oder sich für Live-Patching von KernelCare+ entscheiden möchten, tun Sie dies sofort! OpenSSL bleibt nach wie vor eine der am stärksten auf Software ausgerichteten Technologien, und DDoS-Angriffe sind häufiger, als es den Anschein haben mag.
Verwandte Lektüre:
- 5 Kernel-Live-Patching-Tools, die dabei helfen, Linux-Server ohne Neustart auszuführen