2

Из-за недавних уязвимостей, обнаруженных в старых версиях openssl, я должен обновить его.

Но в репозиториях Centos нет текущей версии ... Есть ли надежный репозиторий, который я могу добавить и обновить?

Нужна текущая версия openssl 1.0.1. Я думаю, что это 1.0.1e_42.el6_7.4 (для CENTOS 6), как указано здесь: https://www.linuxos.pro/drown-attack-cve-2016-0800/.

Есть ли способ безопасного обновления (я не хочу возиться с созданием / компиляцией и мне придется обновлять его вручную).

Нужно ли обновлять конфиги таких сервисов, как apache, postfix и т.д.?

|источник

3 ответа3

2

Пакеты CentOS пересобраны из исходников Red Hat Enterprise Linux. Red Hat бэкпортирует исправления безопасности для своих пакетов, что означает, что, хотя версия кажется старой, она исправлена для исправления уязвимостей безопасности. Например, специально для CVE, который вас беспокоит, ссылки на ошибки безопасности можно найти здесь. Если вы перейдете по ссылкам там, вы обнаружите, что openssl-1.0.1e-42.el6_7.4 был исправлен для CVE-2016-0800.

|источник
1

Хорошо, я посмотрел уязвимые серверы на drownattack.com.

Я видел уязвимые порты - POP3, IMAP, 443 и т.д. Теперь я обновился до последнего доступного openssl через "обновление yum" - которое уже исправлено (согласно https://www.linuxos.pro/drown-attack-cve- 2016-0800/):«openssl-1.0.1e-42.el6_7.4».

Чтобы отключить sslv2 на моих сервисах (apache & postfix) - на всякий случай:

Я отредактировал конфиги для httpd (/etc/httpd/conf.d/ssl.conf) и некомментированную строку "#SSLProtocols ..." и отредактировал ее:

SSLProtocol All -SSLv2 -SSLv3

протестируйте его (после перезапуска apache):

openssl s_client -ssl2 -connect www.example.com:443

получил:

CONNECTED(00000003)
140313005905736:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

так что отключено. Теперь постфикс: отредактировал /etc/postfix/main.cf и добавил внизу:

smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3

проверил это (после перезапуска постфикса, например, POP3):

openssl s_client -connect x.x.x.x:110 -starttls pop3 -ssl2

получил

CONNECTED(00000003)
140110128891720:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

и это тоже отключено.

|источник
0

Для тех, кто обеспокоен тестом сертификата Qualys SSLLabs с оценкой / оценкой ниже "A" из-за DROWN и POODLE, эти ссылки дают лучший способ сделать это:

https://access.redhat.com/solutions/1232413

а также

https://blog.qualys.com/ssllabs/2013/03/19/rc4-in-tls-is-broken-now-what#comment-8643

У меня была эта проблема с нашими экземплярами EC2 и с некоторой хорошей поддержкой от специалистов AWS, я обнаружил, что вы должны включить все директивы конфигурации SSL в каждую директиву VirtualHost, чтобы она работала должным образом.

<VirtualHost *:443>
    DocumentRoot ...
    ServerName ...
    ServerAlias ...
    SSLEngine ON
    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
    SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM \
        EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 \
        EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 \
        EECDH EDH+aRSA \
        !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
    SSLHonorCipherOrder on
    SSLCertificateFile /etc/httpd/conf/ssl.crt/...
    SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/...
    SSLCACertificateFile /etc/httpd/conf/ssl.crt/...
    ErrorLog logs/...
    CustomLog logs/... combined
</VirtualHost>

Приведенное выше значение SSLCipherSuite, вероятно, следует изменять при обнаружении новых уязвимостей или если вы считаете, что некоторые шифры являются слабыми и т.д.

Хорошая идея - регулярно проверять настройки SSL.

РЕДАКТИРОВАТЬ: это в дополнение к обновлению библиотеки openssl до 1.0.1e_42.el6_7.4 (для CENTOS 6)

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .