Gostaria de compilar e instalar uma versão OpenSSL vulnerável ao Heartbleed em um servidor que estou configurando para um desafio de segurança da web em equipe (já que eles não estão disponíveis para instalação no repositório do Ubuntu por motivos óbvios).
Baixei e compilei do código-fonte OpenSSL 1.0.1f usando as instruções fornecidas (run ./config, then makee make install) e tentei executar o Heartbleed POC disponível abertamentedo GitHubdo meu PC, no entanto, o script está me notificando de que nenhuma resposta de pulsação foi recebida e que o servidor provavelmente não está vulnerável.
A execução openssl versionproduz a seguinte saída:OpenSSL 1.0.1f 6 de janeiro de 2014. Instalei um certificado SSL é claro e o acesso SSL funciona no servidor.
OpenSSL está instalado para funcionar com Apache 2.4.7.
Alguém pode ajudar?
Responder1
Há duas coisas que podem estar acontecendo aqui:
Um simples "./configure; make; make install" por padrão colocará as bibliotecas compartilhadas em
/usr/local/lib. As bibliotecas instaladas pelo sistema, entretanto, estarão em/usr/lib, que vem anteriormente no caminho de pesquisa de bibliotecas. A menos que você remova a versão do OpenSSL instalada no sistema, a versão vulnerável não será encontrada.Mesmo se você estiver sobrescrevendo as bibliotecas do sistema, a alteração não será percebida até que você reinicie o Apache. Os arquivos excluídos permanecem acessíveis (e ocupam espaço no disco) até que todos os programas que possuem identificadores de arquivo abertos fechem esses identificadores de arquivo.
Responder2
Qual software de servidor está sendo usado?
Apesar do binário OpenSSL ser vulnerável, é provável que um servidor web instalado a partir de um pacote de sistema operacional esteja usando uma versão de biblioteca que não é vulnerável.
A maneira mais simples de executar um ouvinte vulnerável será openssl s_server: se você precisar que um servidor Web completo seja vulnerável, provavelmente precisará compilar no OpenSSL vulnerável.