Телефон: +7 (499) 703-5166   Поддержка: support@serverclub.com   Твиттер: @serverclub

Heartbleed, рекомендации к лечению.

Главная > О нас > Новости
О чем ?
Уязвимости в OpenSSL Heartbleed присвоен номер CVE-2014-0160. В этой криптографической библиотеке она возникла в следствии ошибки программистов и долгое время о ней никто не подозревал. Heartbleed позволяет атакующему получить логины, пароли, реквизиты банковский карт и другую конфиденциальную информацию. При этом нет необходимости прослушивать канал связи, достаточно послать специально сформированный пакет, и это не обнаруживается в логах сервера.
Проверяем
Для проверки Вашего серверa воспользуйтесь следующими веб ресурсами:
  1. http://filippo.io/Heartbleed/
  2. http://www.ssllabs.com/ssltest/
  3. http://rehmann.co/projects/heartbeat/
  4. http://possible.lv/tools/hb/


Ресурс http://reverseheartbleed.com подскажет подвержен ли уязвимости Ваш компьютер.
Владельцы устройств на ОС Android могут протестировать свои девайсы используя специальной приложение из Google Play.

Какие версии OpenSSL подвержены/не подвержены уязвимости
  • OpenSSL с 1.0.1 по 1.0.1f (inclusive) - подвержена
  • OpenSSL 1.0.1g - не подвержена
  • OpenSSL 1.0.0 - не подвержена
  • OpenSSL 0.9.8 - не подвержена


Какие ОС содержат/не содержат уязвимые версии OpenSSL
Содержат:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) и 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)


Не содержат:
  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
  • FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
  • Windows - нет OpenSSL
  • MacOS - старая версия OpenSSL



Обновляем систему
Debian/Ubuntu:

# aptitude update
# aptitude -VR full-upgrade

После этого полностью перезапустить сервисы, которые используют TLS. Установщик обновления предложит перезапустить автоматически, или можно вручную:

# service nginx restart
# service apache2 restart

Полный список сервисов, которые нуждаются в перезапуске и могут быть уязвимы:

# lsof -n | grep -iE 'del.*(libssl\.so|libcrypto\.so)'
или
# checkrestart

Если не уверены, лучше полностью перезагрузить сервер.
Проверка версии:

# dpkg -l | grep -i openssl
# aptitude changelog openssl

CentOS, RedHat, Fedora:

# yum update

После этого полностью перезапустить сервисы, которые используют TLS, например:

# service nginx restart
# service httpd restart

Полный список сервисов, которые нуждаются в перезапуске и могут быть уязвимы:

# lsof -n | grep -iE 'del.*(libssl\.so|libcrypto\.so)'
или
# needs-restarting

Если не уверены, лучше полностью перезагрузить сервер.
Проверка версии:

# yum list openssl
# rpm -q --changelog openss

FreeBSD:

# freebsd-update fetch
# freebsd-update install

После этого полностью перезапустить сервисы, которые используют TLS, например:

# service nginx restart
# service apache22 restart

Если не уверены, лучше полностью перезагрузить сервер.
Проверка версии:

# freebsd-version


Заключение
Если Вы еще не проверяли Ваш сайт на наличие данной уязвимости, то советуем сделать это незамедлительно. При обнаружении Heartbleed, для обновления, воспользуйтесь инструкциями выше.
Клиентам ServerClub, как и всегда, достаточно создать обращение в личном кабинете. Наши инженеры всегда готовы прийти на помощь.

Используемые ресурсы, дополнительные ссылки.
http://habrahabr.ru/post/218713/
http://habrahabr.ru/post/218661/
http://heartbleed.com/
Оригинал читайте на http://blog.serverclub.ru/page/heartbleed
Вход
Регистрация
Напоминание пароля
Условия соглашения
Согласится
Нужна помощь?

Письмо отправлено! Наш менеджер свяжется с Вами в ближайшее время

OK