¡Repare las vulnerabilidades de OpenSSL en CentOS, Debian, Ubuntu y RHEL! [1.0.1e-fips]

Si encuentra que sus máquinas de producción usan OpenSSL versión 1.0.1, 1.0.0 y 0.9.8, aquí hay una vulnerabilidad grave informada en marzo de 2015:OpenSSL 1.0.2 ClientHello siguegs DoS (CVE-2015-0291) y reclasificado:RSA silenciosamente degrada a EXPORT_RSA [Cliente] (CVE-2015-0204).

Bueno, los dos anteriores se clasificaron como de gravedad alta entre las diversas vulnerabilidades informadas aquí. La lista de versiones de OpenSSL afectadas son 1.0.1, 1.0.0 y 0.9.8. Según los informes del equipo de lanzamiento de OpenSSL, las vulnerabilidades no son graves, ya que se detectó un error de Heartbleed en abril de 2014. Pero actualizar a la última versión evitará los ataques de denegación de servicio.

Las vulnerabilidades identificadas se pueden solucionar actualizando la versión de OpenSSL en sus sistemas con CentOS, RHEL, Debian y Ubuntu.

Veamos cómo actualizar OpenSSL,

Requisito previo :Privilegios de RAÍZ

¿Cómo encontrar la versión de OpenSSL instalada?

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

(O)

$ yum list installed openssl
openssl.x86_64                    1.0.1e-16.el6_5.4                     @updates

La 'versión openssl El comando ‘ debería funcionar en Debian y Ubuntu también. Alternativamente, puede ejecutar el siguiente comando.

[debian/ubuntu ] $ sudo dpkg -l | egrep  '^ii.*openssl'

Reparar/parchar OpenSSL actualizando a la última versión

$sudo yum update openssl

Salida de ejemplo:

Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated
--> Processing Dependency: openssl = 1.0.1e-16.el6_5.4 for package: openssl-devel-1.0.1e-16.el6_5.4.x86_64
---> Package openssl.x86_64 0:1.0.1e-30.el6.8 will be an update
--> Running transaction check
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl-devel.x86_64 0:1.0.1e-30.el6.8 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

=============================================================================================================================================================
 Package                                 Arch                             Version                                    Repository                         Size
=============================================================================================================================================================
Updating:
 openssl                                 x86_64                           1.0.1e-30.el6.8                            updates                           1.5 M
Updating for dependencies:
 openssl-devel                           x86_64                           1.0.1e-30.el6.8                            updates                           1.2 M

Transaction Summary
=============================================================================================================================================================
Upgrade       2 Package(s)

Total download size: 2.7 M
Downloading Packages:
(1/2): openssl-1.0.1e-30.el6.8.x86_64.rpm                                                                                             | 1.5 MB     00:08
(2/2): openssl-devel-1.0.1e-30.el6.8.x86_64.rpm                                                                                       | 1.2 MB     00:08
-------------------------------------------------------------------------------------------------------------------------------------------------------------
Total                                                                                                                        156 kB/s | 2.7 MB     00:17
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Updating   : openssl-1.0.1e-30.el6.8.x86_64                                                                                                            1/4
  Updating   : openssl-devel-1.0.1e-30.el6.8.x86_64                                                                                                      2/4
  Cleanup    : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                    3/4
  Cleanup    : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                          4/4
  Verifying  : openssl-1.0.1e-30.el6.8.x86_64                                                                                                            1/4
  Verifying  : openssl-devel-1.0.1e-30.el6.8.x86_64                                                                                                      2/4
  Verifying  : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                          3/4
  Verifying  : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                    4/4
Updated:
  openssl.x86_64 0:1.0.1e-30.el6.8
Dependency Updated:
  openssl-devel.x86_64 0:1.0.1e-30.el6.8
Complete!

En máquinas Debian y Ubuntu :

[debian/ubuntu ] $ apt-get update
[debian/ubuntu ] $ apt-get upgrade

Bueno, habías actualizado el OpenSSL. Ahora, puede reiniciar su servidor o reiniciar los servicios que usan OpenSSL.

¿Cómo encontrar qué servicios usan OpenSSL?

El siguiente comando mostrará una lista de los servicios que se están ejecutando actualmente y que utilizan la biblioteca OpenSSL.

$lsof | grep libssl | awk '{print $1}' | sort | uniq
data-down
httpd
master
mysqld
php
pickup
postmaste

Reinicie todos los servicios y listo, ha reparado las vulnerabilidades en OpenSSL versión 1.0.2, 1.0.1, 1.0.0 y 0.9.8.

Nota: Incluso si no actualizo esta publicación en el futuro, debe asegurarse de que su sistema esté siempre actualizado con los últimos parches.

Lea también:Lista de comandos OpenSSL útiles