Heartbleed – oprava v Debian

7.4.2014 vyplaval na povrch bezpečností chyba v  knihovně OpenSSL – Heartbleed. Tato chyba umožňuje útočníkovi získat obsah 64KB paměti procesoru, který využívá knihovna OpenSSL. Útočník tak může získat privátní klíč k certifikátu, kterým může dešifrovat komunikaci. Kód této zranitelnosti je CVE-2014-0160.

Tento útok není možné žádným způsobem odhalit, protože útočník za sebou nezanechá žádné stopy.

Závažný problém

Tento bezpečnostní problém je považován za katastrofální, jelikož si nemžeme být jisti zda ze serveru byl získán privátní klíč.
Odborník na bezpečnost Bruce Scheiner označil tento problém na stupnici od 1 do 10 číslem 11.

Problémové verze OpenSSL

Starší verze: 1.0.0 a 0.9.7 zranitelností netrpí. Ohroženy jsou všechny servery využívající OpenSSL 1.0.1 až verze 1.0.1f. Od verze 1.0.1g je problém opraven. Problémová verze OpenSSL se nachází v aktuální verzi Debianu.

Týká se mne Heartbleed

Můžete si jednoduchým způsobem otestovat zda de Vás Heartbleed týká na těchto odkazech:

Pokud jste zdatnější můžete zjistit přímo verzi OpenSSL:
dpkg -l | grep "openssl"

Seznam distribucí a verzí od kterých je problém opraven:

  • Debian 6 (Squeeze): Žádný problém (v této verzi se zranitelnost neobjevila)
  • Debian 7 (Wheezy): 1.0.1e-2+deb7u6
  • Debian testing (Jessie): 1.0.1g-1
  • Debian unstable (Sid): 1.0.1g-1

V bezpečí jste pokud používáte Debian 7 (Wheezy) jste v bezpečí pokud máte alespoň verzi 1.0.1e-2+deb7u6

Jak opravit Heartbleed

Nejjednodužší způsob jak opravit chybu Heartbleed je aktualizovat celý systém (apt-get update && apt-get upgrade) a restartovat apache: /etc/init.d/apache2 restart
Ne vždy je možné aktualizovat celý systém, pak stačí aktualizovat OpenSSL, libssl a restartovat apache:
apt-get update && apt-get install openssl libssl1.0.0 && /etc/init.d/apache2 restart

Pokud není nová verze pro vaši distribuci dostupná, budete ji muset přistoupit na kompilaci ze zdrojového kódu.

To je vše?

Není 🙂 Je důležité znovu vygenerovat certifikáty které jsou na serveru používány. Doporučuji změnit přístupová hesla.