web-dev-qa-db-fra.com

Comment patcher la vulnérabilité [CVE-2014-0224] dans OpenSSL?

J'ai reçu un avertissement de l'autorité qui a généré mon certificat, qui indique qu'il y a un bogue dans OpenSSL et que celui-ci affecte les versions 1.0.1.

Si je comprends bien, je dois effectuer une mise à niveau vers 1.0.1h pour résoudre ce problème.

C’est la première fois que je traite ces choses et je suis inquiet de la façon dont cela affectera mon serveur.

Dois-je redémarrer des services? Et quoi exactement? Je dois m'assurer que cela ne va pas prendre trop de temps.

7
Shadin

La réponse donnée ne répond pas à la question. En ce qui concerne le dernier package pour x86_64 14.04, les dernières informations sur le package openssl sont (si les autres ont des problèmes, merci de me le faire savoir):

openssl:
  Installed: 1.0.1f-1ubuntu2.3
  Candidate: 1.0.1f-1ubuntu2.3
  Version table:
 *** 1.0.1f-1ubuntu2.3 0
        500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty-updates/main AMD64 Packages
        500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty-security/main AMD64 Packages
        500 http://us.archive.ubuntu.com/ubuntu/ trusty-updates/main AMD64 Packages
        500 http://security.ubuntu.com/ubuntu/ trusty-security/main AMD64 Packages
        100 /var/lib/dpkg/status
     1.0.1f-1ubuntu2 0
        500 mirror://mirrors.ubuntu.com/mirrors.txt/ trusty/main AMD64 Packages
        500 http://us.archive.ubuntu.com/ubuntu/ trusty/main AMD64 Packages

Je me suis amusé avec l'installation/la mise à niveau vers la version 1.0.1h à partir de ICI sans aucune chance pour le moment, lorsque je ferai quelques progrès, je reviendrai.

***** UPDATE: J'ai donc trouvé la solution sur un autre fil qui devait simplement être mis à jour (source source répertoriée ci-dessous): **

Sous la ligne de commande unique pour compiler et installer la dernière version de openssl.

curl https://www.openssl.org/source/openssl-1.0.1h.tar.gz | tar xz && cd openssl-1.0.1h && Sudo ./config && Sudo make && Sudo make install

Remplacez l'ancien fichier binaire openssl par le nouveau via un lien symbolique. Allez dans/usr/bin dans le terminal et lancez la commande ci-dessous

Sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`

Redémarrez et vous êtes prêt à partir. Vous voudrez peut-être/aurez besoin de créer de nouveaux certificats. Voici le fil/message original que j'ai mis à jour. SOURCE

Ma sortie après l'exécution des commandes et le redémarrage:

OpenSSL 1.0.1h 5 Jun 2014
built on: Sat Jun 14 22:43:13 EDT 2014
platform: linux-x86_64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -DTERMIO -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
4
JohnRB
  1. Assurez-vous de disposer de la version actuellement prise en charge: 10.04-server, 12.04, 14.04 ou 13.10.

    ~$ lsb_release -a
    No LSB modules are available.
    Distributor ID: Ubuntu
    Description:    Ubuntu 12.04.4 LTS
    Release:    12.04
    Codename:   precise
    
  2. Assurez-vous d'installer les dernières mises à jour. Sudo apt-get update && Sudo apt-get upgrade

  3. Vérifier. apt-cache policy openssl devrait montrer que la version installée 1.0.1-4ubuntu5.14.

    apt-cache policy openssl
    openssl:
      Installed: 1.0.1-4ubuntu5.14
      Candidate: 1.0.1-4ubuntu5.14
      Version table:
     *** 1.0.1-4ubuntu5.14 0
            500 http://archive.ubuntu.com/ubuntu/ precise/main i386 Packages
            500 http://archive.ubuntu.com/ubuntu/ precise-security/main i386 Packages
            500 http://archive.ubuntu.com/ubuntu/ precise-updates/main i386 Packages
            100 /var/lib/dpkg/status
    
  4. Redémarrez tous les services ou le système juste pour être sûr.

6
mikewhatever

Cette vulnérabilité concerne les clients OpenSSL. Les clients utilisant des versions OpenSSL inférieures à 1.0.1 et se connectant à des serveurs exécutant des versions OpenSSL 1.0.1 et supérieures sont vulnérables et doivent être mis à jour.

L’équipe OpenSSL a publié un nouvelles versions .

Le seul moyen de résoudre ce problème consiste à installer les packages OpenSSL mis à jour et à redémarrer les services concernés. Pour le moment, cela ne provoque pas de fuite d'informations de certificat ou de clé privée.

Pour plus d'informations, voir here

0
Mitch