Критическая уязвимость в OpenSSL высокий риск взлома!!!

123 4
Avatar 169
4443

Репост: http://habrahabr.ru/post/218609/ Уровень опасности - высший. Подвержены почти все.

Решение по обнаружению DDoS атак для хостинг компаний, дата центров и операторов связи: FastNetMon (https://fastnetmon.com)
Avatar 523
#1

не поспать, придется обновы ставить :)

Avatar 329
#2

ну кто так делает в 3 часа ночи!!??))

Теперь прийдется работать!

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
Avatar 160
#3

Поскольку простыми командами типа

yum update -y

ставится только OpenSSL 1.0.1e версия, то придется обновиться вручную. Погуглив эту процедуру пока решения не нашел. Собрал своими руками последовательность команд для этой версии и установил к себе на сервера. Полагаю, что многим это пригодится, итак начнем:

Проверяем версию:

openssl version

если выдает

OpenSSL 1.0.1e

и еще ниже, то надо обновится до OpenSSL 1.0.1g

Последовательность из под root следующая:

wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz

tar -xvzf openssl-1.0.1g.tar.gz
cd openssl-1.0.1g
./config --prefix=/usr --openssldir=/usr/ssl
make
make test
make install
./config shared --prefix=/usr --openssldir=/usr/ssl
make clean
make
make install

Затем проверяем версию

openssl version

OpenSSL 1.0.1g 7 Apr 2014

Поздравляю, все получилось.

И прибираемся:

cd ..


rm -rf openssl-1.0.1g.tar.gz openssl-1.0.1g/
Avatar 169
#4

maximus200, это очень плохая рекомендация, перебирать openssl вручную - крайне медвежья услуга.

Если yum не видит обновлений, то либо они не нужны, либо нужно сделать yum clean all и повторить yum upgrade, все должно встать на ура.

Точно с фиксом следующий пакет:

rpm -qa openssl

openssl-1.0.1e-16.el6_5.7.x86_64
MG 90
#5

На ubuntu после ввода команд:

apt-get update && apt-get upgrade, данная уязвимость пропала (проверял через сайт: filippo.io/Heartbleed/), хотя openssl версия не изменилась.

Вообщем пробежался по сервакам, заапдейтился :).

R1 64
#6

Pavel.Odintsov, спс

для centos


yum install openssl
service httpd restart

уязвимость пропала (чекал через http://filippo.io/Heartbleed/)

Avatar 160
#7

Pavel.Odintsov, Как же они не нужны? Топик называется "Критическая уязвимость в OpenSSL высокий риск взлома!!!"

Команды:

yum clean all

yum upgrade

Ставят OpenSSL 1.0.1e версию. Фикс же исправен в OpenSSL 1.0.1g версии. Если же способ, что написан мной выше плохой - напишите как надо правильно обновится в текущей ситуации до OpenSSL 1.0.1g версии.

K 172
#8
Pavel.Odintsov:
Точно с фиксом следующий пакет:
openssl-1.0.1e-16.el6_5.7.x86_64

А ночью был еще openssl-1.0.1e-16.el6_5.4

дольше делали чем на debian-based.

---------- Добавлено 08.04.2014 в 15:13 ----------

maximus200:
тавят OpenSSL 1.0.1e версию. Фикс же исправен в OpenSSL 1.0.1g версии. Если же способ, что написан мной выше плохой - напишите как надо правильно обновится в текущей ситуации до OpenSSL 1.0.1g версии.

#yum clean all && yum update openssl

#yum info openssl

...

Installed Packages

Name : openssl

Arch : x86_64

Version : 1.0.1e

Release : 16.el6_5.7

...

Подтверждение что это то, что нужно: http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html

Услуги: Сервер i7 за 66 евро! (http://blackhost.ru/dedicated-servers), VPS SSD от 6 евро (http://blackhost.ru/vps) Гарантированные канал 1 Gbps за 337 евро (https://blackhost.ru/dedicated-servers#addons). Защита от DDoS-атак. Blackhost.ru - Наша тема (/ru/forum/892885)
Avatar 169
#9

klamas, да, делали решительно долше. Причем, в Центос было два апгрейда - один с суффиксом centos, который сделали сами ребята, они тупо отрубили хендшейкинг и где-то через 1.5 часа уже нормальный апдейт с фиксом от RedHat.

Но все равно несравнимо тормознее Debian/Ubuntu, за что честь им и хвала!

Avatar 73
#10

Но, постойте-ка. Баг-то исправлен в версии 1.0.1g ?!

Что и пишут в статье на хабре и что потверждается косвенно ссылкой:

http://www.openssl.org/source/

Версия 1.0.1e разве содержит фикс?

123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий