En esta página
- Averigüe si su servidor está afectado
- Corregir la vulnerabilidad
- Compruebe si la actualización de Linux instaló el paquete correcto
Versión 1.2
Autor:Till Brehm
Siga a Howtoforge en Twitter
Se ha encontrado una vulnerabilidad grave en OpenSSL, la vulnerabilidad se llama Heartbleed y afecta la implementación de heartbeat en Openssl versión 1.0.1 hasta la versión 1.0.1f. Esta capacidad de acceso se puede utilizar para obtener la clave privada de una conexión SSL, por lo que es importante actualizar el servidor de inmediato. El error se solucionó en OpenSSL 1.0.1g. Todas las principales distribuciones de Linux tienen actualizaciones de lanzamiento para la vulnerabilidad.
Descubre si tu servidor esta afectado
Ejecute el comando:
versión openssl
para obtener el número de versión de openssl. Si el comando muestra, por ejemplo:
versión de openssl
OpenSSL 1.0.1e 11 de febrero de 2013
entonces su servidor podría ser vulnerable ya que la versión es inferior a 1.0.1g. Pero algunos paquetes de parches de distribuciones de Linux, consulte a continuación las instrucciones para averiguar si el paquete en su servidor ha sido parcheado.
Si su servidor usa una versión 0.9.8 como la que se usa en Debian squeeze, entonces el servidor no es vulnerable ya que la función de latido se ha implementado solo en OpenSSL 1.0.1 y versiones posteriores.
versión de openssl
OpenSSL 0.9.8o 1 de junio de 2010
Reparar la vulnerabilidad
Para corregir la vulnerabilidad, instale las últimas actualizaciones para su servidor.
Debian
actualización apt-get
actualización apt-get
Ubuntu
actualización apt-get
actualización apt-get
Fedora y CentOS
yum actualización
Abrir SuSE
actualización de cremallera
Luego reinicie todos los servicios que usan OpenSSL. En un servidor ISPConfig 3, reinicie, p. estos servicios (cuando están instalados):sshd, apache, nginx, postfix, dovecot, courier, pure-ftpd, bind y mysql. Si quiere estar absolutamente seguro de que no se ha perdido ningún servicio, reinicie todo el servidor ejecutando "reboot" en el shell.
Compruebe si la actualización de Linux instaló el paquete correcto
Después de instalar las actualizaciones de Linux, verifique si el paquete openssl se actualizó correctamente. Algunas distribuciones de Linux
paquetes de parches, por lo que la "versión de openssl" no siempre muestra si se ha instalado el parche correcto que corrige la vulnerabilidad.
Compruebe el paquete en Debian y Ubuntu:
dpkg-query -l 'openssl'
Aquí la salida para un servidor Debian 7 (Wheezy) parcheado correctamente:
dpkg-query -l 'openssl'
Deseado=Desconocido/Instalar/Eliminar/Purgar/Retener
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(ninguno)/Reinst-required (Status,Err:uppercase=malo)
||/ Nombre Versión Arquitectura Descripción
+++-==================-===============-==============-============================================
ii openssl 1.0.1e-2+deb7u5 amd64 Secure Socket Layer (SSL) binario y relacionado
Para Fedora y CentOS, use este comando para encontrar el nombre del paquete instalado:
rpm-qa | grep abre SSL
Aquí están los enlaces con las notas de la versión que contienen los nombres de los paquetes de las versiones corregidas:
Debian:http://www.debian.org/security/2014/dsa-2896
Ubuntu:http://www.ubuntu.com/usn/usn-2165-1/
Fedora:https ://lists.fedoraproject.org/pipermail/announce/2014-April/003206.html
CentOS:http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
Prueba
Ahora hay una prueba disponible para verificar si cerró con éxito el agujero de seguridad en su Servidor. La prueba se puede encontrar aquí:
http://filippo.io/Heartbleed/
Preguntas y respuestas sobre este tema en el foro de howtoforge
Preguntas y respuestas sobre este tema en el foro howtoforge:
https://www.howtoforge.com/forums/showthread.php?t=65498