Me gustaría compilar e instalar una versión de OpenSSL vulnerable a Heartbleed en un servidor que estoy configurando para un desafío de seguridad web del equipo (ya que no están disponibles para instalar desde el repositorio de Ubuntu por razones obvias).
Descargué y compilé desde la fuente OpenSSL 1.0.1f usando las instrucciones proporcionadas (ejecutar ./config, luego makey make install), e intenté ejecutar el Heartbleed POC disponible abiertamente.de GitHubdesde mi PC, sin embargo, el script me notifica que no se ha recibido ninguna respuesta y que es probable que el servidor no sea vulnerable.
La ejecución openssl versionproduce el siguiente resultado:OpenSSL 1.0.1f 6 de enero de 2014. Por supuesto, instalé un certificado SSL y el acceso SSL funciona en el servidor.
OpenSSL está instalado para funcionar con Apache 2.4.7.
¿Alguien puede ayudar?
Respuesta1
Hay dos cosas que pueden estar pasando aquí:
Un simple "./configure; make; make install" colocará de forma predeterminada las bibliotecas compartidas en formato
/usr/local/lib. Las bibliotecas instaladas en el sistema, sin embargo, estarán en/usr/lib, que aparece antes en la ruta de búsqueda de bibliotecas. A menos que elimine la versión de OpenSSL instalada en el sistema, no se encontrará la versión vulnerable.Incluso si está sobrescribiendo las bibliotecas del sistema, el cambio no se aplicará hasta que reinicie Apache. Los archivos eliminados permanecen accesibles (y ocupan espacio en el disco) hasta que todos los programas que tienen identificadores de archivos abiertos los cierran.
Respuesta2
¿Qué software de servidor se está utilizando?
A pesar de que el binario OpenSSL es vulnerable, es probable que un servidor web instalado desde un paquete de sistema operativo utilice una versión de biblioteca que no sea vulnerable.
La forma más sencilla de ejecutar un oyente vulnerable será openssl s_server: si necesita que un servidor web completo sea vulnerable, probablemente necesitará compilar contra el OpenSSL vulnerable.