Mantenga los servidores CentOS 6 a salvo de una nueva vulnerabilidad de OpenSSL

CloudLinux ofrece soporte extendido hasta 2024 para mantener sus servidores CentOS 6 seguros de una nueva vulnerabilidad de OpenSSL.

OpenSSL lanzó recientemente un parche de seguridad para un hallazgo de alto nivel que afecta a cualquier servidor que ejecute las versiones 1.0.2 y 1.1.1. Desafortunadamente, OpenSSL anunció que no lanzaría parches para CentOS 6, solo CentOS 7 y CentOS 8. Esto deja a cualquier servidor que ejecute OpenSSL sin parches, incluido el sistema operativo CentOS 6, vulnerable a la denegación de servicio (DoS) donde el software, los servicios críticos, o el sistema operativo podría bloquearse. Sin embargo, CloudLinux parcheará las versiones actuales de OpenSSL, la versión 1.0.1 no compatible y los servidores que ejecutan el sistema operativo CentOS 6.

Detalles de vulnerabilidad para CVE-2020-1971

OpenSSL tiene una función llamada GENERAL_NAME_cmp() que compara dos parámetros y realiza las siguientes dos acciones:

1. Compara un certificado X.509 con elementos de una lista de revocación de certificados (CRL).
2. Compara una marca de tiempo del firmante del token de respuesta con la marca de tiempo de un nombre de autoridad.

La función es importante en la comunicación segura para garantizar que el certificado no haya sido revocado. Las organizaciones de la autoridad de certificación (CA) revocan los certificados por varios motivos. Si las claves privadas de un servidor son robadas debido a un compromiso, una CA revocará los certificados para proteger la integridad de la comunicación. Otras razones para la revocación incluyen el uso indebido del certificado y la publicación de uno nuevo, la CA está comprometida o la CA creó certificados sin la autorización del propietario del dominio. En cualquiera de estos casos, un atacante podría hacerse pasar por el dominio objetivo y engañar a los usuarios para que confíen en un sitio, lo que podría conducir a un ataque de phishing sofisticado y la divulgación de datos confidenciales.

Si un atacante puede controlar ambos parámetros pasados ​​a GENERAL_NAME_cmp() función, se cumplirá una condición DoS si ambos parámetros son del mismo tipo. Un investigador de Google que encontró la vulnerabilidad pudo realizar una demostración de prueba de concepto pasando a la función dos parámetros del tipo EDIPartyName , definido en código OpenSSL.

El parche para la vulnerabilidad, ID asignado CVE-2020-1971 , se lanzó el 8 de diciembre de 2020. Los cambios en el código fuente abierto se pueden encontrar en el repositorio de Github de OpenSSL . Puede leer más sobre la vulnerabilidad en el anuncio de OpenSSL. página.

¿Qué puede pasar si OpenSSL no se actualiza?

Si bien la ejecución remota de código (RCE) no es una preocupación, los servidores sin parches podrían estar sujetos a DoS y, potencialmente, a una condición de denegación de servicio distribuido (DDoS) en la que los servicios podrían desconectarse y no estar disponibles para los usuarios. Los servidores críticos que deben permanecer disponibles para la productividad empresarial o deben estar en línea para cumplir con los acuerdos de nivel de servicio podrían ser un objetivo para los atacantes. CVE estableció el nivel de riesgo en "Alto", lo que significa que se considera una vulnerabilidad grave para las organizaciones. Solo las vulnerabilidades etiquetadas como "Críticas" son más graves, y estas vulnerabilidades ocurren aproximadamente una vez cada cinco años.

Mitigación con soporte extendido para CentOS 6 y/o KernelCare+

CloudLinux Extended Support para CentOS 6 tiene este parche de seguridad disponible para sus clientes. El fin de la vida útil (EOL) de CentOS 6 fue en noviembre de 2020, pero CloudLinux ofrece soporte extendido hasta 2024 para mantener los servidores seguros de la vulnerabilidad openSSL hasta que los administradores puedan actualizar a versiones más nuevas del sistema operativo. Para suscribirse a soporte extendido, llene este formulario .

KernelCare también tiene soporte de parches en vivo para OpenSSL, así como varias otras bibliotecas compartidas .

Instalación de soporte extendido de CloudLinux para CentOS 6

La instalación de CloudLinux Extended Support requiere solo unos pocos comandos.

Descargue el script de instalación:

wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.py

Ejecute el script de instalación (tenga en cuenta que necesita su clave de licencia):

python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX

El comando anterior instalará el centos-els-release paquete que contiene la clave PGP del repositorio. Puede asegurarse de que la instalación esté completa ejecutando el siguiente comando:

rpm -q centos-els-release

La salida del comando anterior debería mostrar:

centos-els-release-6-6.10.1.el6.x86_64

Nota: Los Clientes existentes que aún ejecutan CentOS a partir del 1 de diciembre de 2020 se convirtieron automáticamente a soporte EOL.

Instalación de KernelCare+

KernelCare+ es tan fácil como instalar CloudLinux ES. Para instalar KernelCare+, ejecute uno de los siguientes comandos:

curl -s -L https://kernelcare.com/installer | bash

O,

wget -qq -O - https://kernelcare.com/installer | bash

Para obtener más información sobre la instalación de KernelCare+, consulte la documentación oficial .

Conclusión

Los investigadores indican que esta vulnerabilidad de OpenSSL es mucho más difícil de explotar, pero esto no significa que deba retrasar la aplicación de parches a sus servidores. Ya sea que planee hacerlo manualmente, actualice a la versión más nueva de OpenSSL u opte por la aplicación de parches en vivo de KernelCare+, ¡hágalo de inmediato! OpenSSL sigue siendo una de las tecnologías más dirigidas al software, y los ataques DDoS son más frecuentes de lo que parece.

Lectura relacionada:

• 5 herramientas de parcheo en vivo del kernel que ayudarán a ejecutar servidores Linux sin reiniciar