Критическая уязвимость в OpenSSL

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

Критическая уязвимость в OpenSSL

Сообщение mikhey » Вт апр 08, 2014 12:57 pm

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL. Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.


Некто, знавший об уязвимости, мог прослушивать «зашифрованный» трафик почти во всем интернете с марта 2012 года, когда вышла версия OpenSSL 1.0.1. В то время была продемонстрирована успешная атака на TLS (BEAST), и многие перешли на защищенную версию TLS 1.2, появление которой совпало с выходом OpenSSL 1.0.1.

Уязвимая версия OpenSSL используется в популярных веб-серверах Nginx и Apache, на почтовых серверах, IM-серверах, VPN, а также во множестве других программ. Ущерб от этого бага исключительно велик.

Некоторые дистрибутивы операционных систем с уязвимой версией OpenSSL:
* Debian Wheezy (стабильная), OpenSSL 1.0.1e-2+deb7u4)
* Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
* CentOS 6.5, OpenSSL 1.0.1e-15)
* Fedora 18, OpenSSL 1.0.1e-4
* OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
* FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
* NetBSD 5.0.2 (OpenSSL 1.0.1e)
* OpenSUSE 12.2 (OpenSSL 1.0.1c)

Дистрибутивы с более ранними версиями OpenSSL: Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server.

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователей следует предупредить о возможной утечке их паролей. В случае невозможности немедленного апдейта на исправленную версию следует перекомпилировать OpenSSL с флагом -DOPENSSL_NO_HEARTBEATS.
mikhey
 
Сообщений: 36
Зарегистрирован: Пн сен 09, 2013 6:08 am

Re: Критическая уязвимость в OpenSSL

Сообщение ls » Вт апр 08, 2014 1:37 pm

Внесу немного информации, дабы не разводить панику
- OpenSSL 1.0.0 branch is NOT vulnerable
- OpenSSL 0.9.8 branch is NOT vulnerable

Уязвимы только НОВЫЕ версии openssl с 1.0.1a по 1.0.1f
В старых осях их ещё нету и их уязвимость не касается. Например, оно не касается 9й фряхи, 6го дебиана и т.д.

Современные системы (CentOS 6 / Ubuntu 12 / Debian 7) обновляются командами
CentOS
yum update

Debian-based
apt-get update && apt-get upgrade

и этого будет вполне достаточно

Что касается самой уязвимости - она позволяла при определенных условиях перехватить защищенное SSL соединение и его приватный ключ и затем на его основе выпустить поддельный сертификат (который использовать где-либо) или расшифровывать перехваченный трафик. В большинстве случаев оснований для беспокойства нет и достаточно только обновить ПО сервера
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6397
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Критическая уязвимость в OpenSSL

Сообщение SergeyDSI » Вт апр 08, 2014 4:23 pm

Как быть, сайт: http://filippo.io/Heartbleed/
выдает на мои сайты у Вас, что все они "****************.ru:443 IS VULNERABLE."
Here is some data we pulled from the server memory:
(we put YELLOW SUBMARINE there, and it should not have come back)

([]uint8) {
00000000 02 00 79 68 65 61 72 74 62 6c 65 65 64 2e 66 69 |..yheartbleed.fi|
00000010 6c 69 70 70 6f 2e 69 6f 59 45 4c 4c 4f 57 20 53 |lippo.ioYELLOW S|
00000020 55 42 4d 41 52 49 4e 45 68 39 a9 02 08 57 6d 75 |UBMARINEh9...Wmu|
00000030 9f 41 20 67 d5 52 70 25 70 1c ae f0 94 1a e2 38 |.A g.Rp%p......8|
00000040 8d c9 af 86 e9 4a 61 5c ab 61 ab 2c f0 06 d6 dc |.....Ja\.a.,....|
00000050 71 1d f4 ea 87 7e 76 df 62 63 98 fa b6 46 5f c9 |q....~v.bc...F_.|
00000060 a6 1b de ac 65 54 b3 09 e6 7a e1 17 54 ac 7d 23 |....eT...z..T.}#|
00000070 8c 6e b4 af dc 5a e4 58 0f ed 79 4b 33 a8 22 b6 |.n...Z.X..yK3.".|
00000080 23 94 04 0b b1 60 b1 f7 36 11 79 84 |#....`..6.y.|

Насколько это опасно, и как оперативно закрыть уязвимость? Ось одна у меня FreeBSD 8, вторая 9
SergeyDSI
 
Сообщений: 4
Зарегистрирован: Пт авг 02, 2013 9:58 am

Re: Критическая уязвимость в OpenSSL

Сообщение ls » Ср апр 09, 2014 3:37 am

FreeBSD 8 и 9 не уязвимы
http://www.freebsd.org/security/advisor ... penssl.asc
The code used to handle the Heartbeat Extension does not do sufficient boundary
checks on record length, which allows reading beyond the actual payload.
[CVE-2014-0160]. Affects FreeBSD 10.0 only.

http://lists.freebsd.org/pipermail/free ... 01541.html
FreeBSD base system have been patched on 2014-04-08 18:27:32 UTC (head,
r264265), 2014-04-08 18:27:39 UTC (stable/10, r264266), 2014-04-08
18:27:46 UTC (releng/10.0, r264267). The update is available with
freebsd-update. All other supported FreeBSD branches are not affected
by this issue.

Проблема только во FreeBSD 10 и FreeBSD 11, как я написал выше - проблема в версии openssl с 1.0.1a по 1.0.1f
Во FreeBSD 8/9 - идет openssl 0.9.8(q/y)
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6397
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Критическая уязвимость в OpenSSL

Сообщение SergeyDSI » Ср апр 09, 2014 9:51 am

ls писал(а):FreeBSD 8 и 9 не уязвимы
...
Проблема только во FreeBSD 10 и FreeBSD 11, как я написал выше - проблема в версии openssl с 1.0.1a по 1.0.1f
Во FreeBSD 8/9 - идет openssl 0.9.8(q/y)

Развейте мои сомнения и противоречия. Вы утверждаете, что мне нечего опасаться, т.к. у меня фряхи версии 8 и 9, однако сайт http://filippo.io/Heartbleed/ заявляет обратно, что мои VDS подвержены уязвимости.
SergeyDSI
 
Сообщений: 4
Зарегистрирован: Пт авг 02, 2013 9:58 am

Re: Критическая уязвимость в OpenSSL

Сообщение SergeyDSI » Ср апр 09, 2014 9:54 am

Полагаю, что в свете последних событий, логичным шагом с Вашей стороны был бы, выпуск подробного мануала, о том, как закрыть эту уязвимость, всем Вашим клиентам....
SergeyDSI
 
Сообщений: 4
Зарегистрирован: Пт авг 02, 2013 9:58 am

Re: Критическая уязвимость в OpenSSL

Сообщение swg » Ср апр 09, 2014 1:57 pm

А что, случилась какая-то нестандартная ситуация? Обновить, как и любой другой софт. Либо из репозиториев, где уже всё обновлено, либо скачать новую и собрать.
swg
флудит форум
 
Сообщений: 2386
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Критическая уязвимость в OpenSSL

Сообщение bcz » Сб апр 12, 2014 5:17 pm

SergeyDSI писал(а):Полагаю, что в свете последних событий, логичным шагом с Вашей стороны был бы, выпуск подробного мануала, о том, как закрыть эту уязвимость, всем Вашим клиентам....


Согласен, у меня точно такая проблема. На сервере "OpenSSL 0.9.8y 5 Feb 2013", но phpinfo выдаёт "OpenSSL 1.0.1e 11 Feb 2013". Что конкретно нужно обновить я пока так и не разобрался.
Вроде как мой vds должен использовать шаблонные файлы и обновление должно было бы произойти автоматически, но этого нет. Мне, чтобы разобраться в каком из серверов косяк(nginx, apache?) и как его исправить, необходимо потратить кучу времени.
bcz
 
Сообщений: 8
Зарегистрирован: Пт сен 28, 2012 2:09 pm

Re: Критическая уязвимость в OpenSSL

Сообщение pepper » Сб апр 12, 2014 5:28 pm

OpenSSL версии 1.0.1, вероятно, установлен вместе с apache.
Если у вас виртуализация FreeBSD jail, то нужно обновить openssl из портов, применив патч http://security.FreeBSD.org/patches/SA- ... l-10.patch.
Если у вас не получается сделать это самостоятельно, вы можете обратиться в поддержку и за 250р вам устранят эту уязвимость.
pepper
Support team
 
Сообщений: 551
Зарегистрирован: Пн окт 07, 2013 4:06 am

Re: Критическая уязвимость в OpenSSL

Сообщение bes » Вс апр 13, 2014 5:15 pm

ls писал(а):Проблема только во FreeBSD 10 и FreeBSD 11, как я написал выше - проблема в версии openssl с 1.0.1a по 1.0.1f
Во FreeBSD 8/9 - идет openssl 0.9.8(q/y)

А почему же в моей FreeBSD 8.4-STABLE стоит OpenSSL 1.0.1e 11 Feb 2013 по умолчанию?
bes
 
Сообщений: 6
Зарегистрирован: Чт сен 05, 2013 6:13 pm

Re: Критическая уязвимость в OpenSSL

Сообщение ls » Вс апр 13, 2014 5:21 pm

Вероятно у вас установлен данный порт и apache собран с ним
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6397
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Критическая уязвимость в OpenSSL

Сообщение bes » Вс апр 13, 2014 5:36 pm

Вероятно. Ну так я пользуюсь только тем что мне поставили в firstvds. Изначально.
Из этого делаю вывод что огромное количество клиентов даже не догадываются об этой уязвимости.
Правильно ли я понимаю, что для того чтобы от нее избавиться, надо оплатить 250 рублей в техподдержку?
Или все таки будет какой то мануал для особо тупых админов? Или проблема решится для всех клиентов силами firstvds?
bes
 
Сообщений: 6
Зарегистрирован: Чт сен 05, 2013 6:13 pm

Re: Критическая уязвимость в OpenSSL

Сообщение bw » Вс апр 13, 2014 5:57 pm

Тот же вопрос. Apache, Nginx, Exim и пр. были из коробки (FreeBSD 8.4). Верно ли предположение, что ответственность за обновление такого софта лежит на плечах провайдера? Порты пока старые (для 8.4), установленный софт/библиотеки тоже.

..bw
bw
 
Сообщений: 4
Зарегистрирован: Ср ноя 08, 2006 3:05 pm
Откуда: Усть-Илимск

Re: Критическая уязвимость в OpenSSL

Сообщение ls » Вс апр 13, 2014 6:23 pm

FreeBSD-8-ISPmanager и FreeBSD-9-ISPmanager (VDSmanager-FreeBSD старые тарифы) уже не поддерживаются разработчиками VDSmanager (ISPsystem) и для них нет и не будет никаких обновлений.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6397
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Критическая уязвимость в OpenSSL

Сообщение pepper » Вс апр 13, 2014 6:24 pm

>> Правильно ли я понимаю, что для того чтобы от нее избавиться, надо оплатить 250 рублей в техподдержку?
Или так или своими силами так:
pepper писал(а):Если у вас виртуализация FreeBSD jail, то нужно обновить openssl из портов, применив патч http://security.FreeBSD.org/patches/SA- ... l-10.patch.
Если у вас не получается сделать это самостоятельно, вы можете обратиться в поддержку и за 250р вам устранят эту уязвимость.


Если у вас другая ОС, то обычно достаточно обновить openssl стандартным пакетным менеджером для вашей ОС.
pepper
Support team
 
Сообщений: 551
Зарегистрирован: Пн окт 07, 2013 4:06 am

След.

Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1