Herdei um servidor em um de nossos ambientes de desenvolvimento e descobri imediatamente que ele não foi corrigido quando o heartbleed foi descoberto.
Agora, eu o atualizei - incluindo todas as bibliotecas SSL e regenerei certificados autoassinados, mas mesmo após a reinicialização completa do servidor ele ainda aparece como vulnerável contra vários verificadores Heartbleed.
Este é o estado das coisas. Versão do Ubuntu/Kernel:
root@server:~# uname -a
Linux server.domain.com 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
root@server:~#
Versão da biblioteca OpenSSL:
root@server:~# dpkg -l|grep ssl
ii libio-socket-ssl-perl 1.53-1 Perl module implementing object oriented interface to SSL sockets
ii libnet-ssleay-perl 1.42-1build1 Perl module for Secure Sockets Layer (SSL)
ii libssl1.0.0 1.0.1-4ubuntu5.13 SSL shared libraries
ii openssl 1.0.1-4ubuntu5.13 Secure Socket Layer (SSL) binary and related cryptographic tools
ii python-openssl 0.12-1ubuntu2.1 Python wrapper around the OpenSSL library
root@server:~#
Construção OpenSSL:
root@server:~# openssl version -b
built on: Fri May 2 20:24:44 UTC 2014
root@server:~#
/etc/issuecontém algumas coisas do cloud-sigma onde o servidor está hospedado.
Alguém tem alguma idéia de como levar isso adiante?
Obrigado
Responder1
Você deve executar o script ldd no binário do servidor web real. Seu servidor web, especialmente se for proprietário, pode estar vinculado estaticamente ou carregando suas bibliotecas de um diretório estranho. Um exemplo de como verificar o Apache no CentOS:
# ldd /usr/sbin/httpd
[snip]
libssl.so.6 => /lib64/libssl.so.6 (0x00002b94ab034000)
# yum whatprovides libssl.so.6
Loaded plugins: dellsysid, security
openssl-0.9.8b-10.el5.i686 : The OpenSSL toolkit
Repo : base
Matched from:
Other : libssl.so.6
[snip]