web-dev-qa-db-fra.com

Correction de la vulnérabilité OpenSSL CCS sur Ubuntu 14.04

Je viens d'installer un certificat SSL de Let's Encrypt sur l'un de mes domaines. Tout allait bien, icône de verrou vert sur Chrome. Mais juste pour être sûr, j'ai vérifié le domaine sur ssllabs.com. Et à ma grande surprise, il a la pire note, un F. Il semble que mon serveur soit vulnérable à la vulnérabilité OpenSSL CCS (CVE-2014-0224).

Image ssl labs

Mes serveurs fonctionnent sous Ubuntu 14.04. J'ai essayé de mettre à jour les paquets et d'installer une nouvelle version d'OpenSSL, mais je n'en ai trouvé aucun, je l'ai donc construite à partir des sources. Mais maintenant que j'ai la dernière version, je ne vois aucune différence lorsque je vérifie le domaine sur SSLLabs, il est toujours classé F.

Image terminal openssl --version

Que dois-je faire pour résoudre cette vulnérabilité une fois pour toutes?

Merci.

3
antoine

Vous pouvez vérifier si votre SSL est corrigé par rapport à la vulnérabilité OpenSSL CCS (CVE-2014-0224):

  • Sudo apt-get changelog openssl | grep CVE-2014-0224

Si aucun résultat n'est affiché, votre serveur doit être mis à jour! Procédez comme suit:

  • Sudo apt-get update
  • Sudo apt-get install openssl libssl-dev
  • Sudo openssl version -a

Si vous obtenez les résultats du journal des modifications ou que les deux fichiers openssl + libssl-dev sont à jour, c'est probablement parce que vous n'avez pas redémarré. Lors de la mise à jour de LibSSL, un redémarrage est nécessaire. Procédez comme suit:

  • Sudo reboot now ou utilisez votre console de serveur pour le faire.
2
Simon Hayter