升級openssl
依賴openssl的軟件,如果是靜態編譯openssl,那么需要重新編譯軟件,如果是利用openssl的so動態庫,那么只需要替換一下so文件並重啟軟件即可
openssh也依賴openssl
參考文章
http://www.111cn.net/sys/CentOS/61326.htm
http://bguncle.blog.51cto.com/3184079/1392870/
http://www.cnblogs.com/doomsword/p/3654131.html
http://baike.baidu.com/link?url=-JPAJup4lhmkzO__PjR9IeyHzJ46WjSHYQQSxaQYOxnjc2DVrkzJHRV5M56vhFgiif7Ir_-9spu2mgj8VtMXMq
今天用rkhunter檢測了一下服務器,檢測結果報:openssl版本太低
# grep -i OpenSSL /var/log/rkhunter.log
[13:43:50] Checking for string '/usr/include/openssl' [ Not found ]
[13:44:11] Checking version of OpenSSL [ Warning ]
[13:44:11] Warning: Application 'openssl', version '1.0.1e', is out of date, and possibly a security risk.
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl 靜態編譯用 靜態庫
ln -s /usr/local/ssl/lib/libssl.so /usr/local/lib64/libssl.so 動態編譯用 動態庫
strings /usr/lib64/libssl.so.10 |grep -i openssl OpenSSLDie OPENSSL_cleanse OPENSSL_DIR_read OPENSSL_DIR_end OPENSSL_init_library OPENSSL_1.0.1 OPENSSL_1.0.1_EC SSLv2 part of OpenSSL 1.0.1e-fips 11 Feb 2013 SSLv3 part of OpenSSL 1.0.1e-fips 11 Feb 2013 TLSv1 part of OpenSSL 1.0.1e-fips 11 Feb 2013 DTLSv1 part of OpenSSL 1.0.1e-fips 11 Feb 2013 OpenSSL 1.0.1e-fips 11 Feb 2013
rpm -ql openssl /usr/bin/openssl /usr/lib64/libcrypto.so.1.0.1e /usr/lib64/libcrypto.so.10 /usr/lib64/libssl.so.1.0.1e /usr/lib64/libssl.so.10 /usr/lib64/openssl
http://baike.baidu.com/link?url=-JPAJup4lhmkzO__PjR9IeyHzJ46WjSHYQQSxaQYOxnjc2DVrkzJHRV5M56vhFgiif7Ir_-9spu2mgj8VtMXMq
Heartbleed漏洞之所以得名,是因為用於.
安全傳輸層協議(TLS)及
數據包傳輸層安全協議(DTLS)
的 Heartbeat擴展存在漏洞。
Heartbeat擴展為TLS/DTLS提供了一種新的簡便的連接保持方式,但由於OpenSSL 1.0.2-beta與OpenSSL 1.0.1在處理TLS heartbeat擴展時的邊界錯誤,
攻擊者可以利用漏洞披露連接的客戶端或服務器的存儲器內容,導致攻擊者不僅可以讀取其中機密的加密數據,還能盜走用於加密的密鑰
受影響的OpenSSL版本:
最后更新於2014年4月9日,據Heartbleed和OpenSSL網站上的信息。[8]
受影響:
OpenSSL 1.0.2-beta[8]
OpenSSL 1.0.1 - OpenSSL 1.0.1f[8]
除非針對CVE-2014-0160的操作系統補丁已經安裝,而沒有更改庫版本,如Debian、Red Hat Enterprise Linux(及其派生版,如CentOS、Amazon Linux)或Ubuntu(及其派生版,如Linux Mint)。
不受影響:
OpenSSL 1.0.2-beta2(將來版本)[8]
OpenSSL 1.0.1g[8]
OpenSSL 1.0.0(及1.0.0的分支版本)[8]
OpenSSL 0.9.8(及0.9.8的分支版本)[8]
要解決此漏洞,建議服務器管理員或使用1.0.1g版,或使用-DOPENSSL_NO_HEARTBEATS選項重新編譯OpenSSL,從而禁用易受攻擊的功能,直至可以更新服務器軟件。[8] .
單獨應用這個補丁並不能修復漏洞。還必須重新啟動相關服務和/或重啟服務器,這樣修補過的OpenSSL才能被應用,然后重新生成所有的私鑰和密碼。[8]
鑒於openssl 1.0.1的安全漏洞, 現在都升級1.0.1g版本的openssl了, 這里記錄下升級流程. 0. 先查看當前安裝的版本 ssh -V 查看ssh版本 openssl version -a 查看openssl版本 1. 首先到官網下載新版的源碼包 openssh: http://www.openssh.com/portable.html 這里, 官網上找到的下載有兩種, 一種是直接下載OpenBSD的(附帶openssh, 顯然不是我等需要的), 另外一種就是這種portable版的 openssl: http://www.openssl.org/source/ 2. 先安裝openssl, 一定記得加上--shared選項, 否則openssh編譯的時候會找不到新安裝的openssl的library, 會報錯: openssl的 header和library版本不匹配 ./config --prefix=/usr --shared make make test make install 完畢后查看openssl版本安裝是否正確 3. 安裝openssh ./configure --prefix=/usr --with-pam --with-zlib --with-md5-passwords make make install 這種安裝會把sshd的配置文件放在/usr/etc/sshd_config 需要重啟sshd服務並且重新登錄shell, 才能查看openssh是否已經安裝新版本, 建議先保留安裝openssh的這個shell, 另開一個shell測試, 防止設置錯誤導致服務器無法連接
相關軟件下載地址
Apache:http://httpd.apache.org/
Nginx:http://nginx.org/en/download.html
OpenSSL:http://www.openssl.org/
openssl-poc
附件說明
PoC.py : 漏洞利用測試PoC腳本
showssl.pl:OpenSSL動態庫版本檢測腳本
安裝OpenSSL步驟
由於運營環境不同,以下過程僅供參考。openssl屬於系統應用,被較多應用依賴,由於環境不同等因素,請先在測試環境進行充分測試。
從官方下載最新版本的opensssl庫
wget https://www.openssl.org/source/openssl-1.0.1g.tar.gz
解壓下載的openssl壓縮包
tar -zxvf openssl-1.0.1g.tar.gz
進入解壓后的openssl文件夾
cd openssl-1.0.1g
執行文件夾中的config文件,這里openssl的安裝目錄默認是/usr/local/ssl(由於系統環境差異路徑可能不一致,下同),注意添加zlib-dynamic參數,使其編譯成動態庫
| 代碼如下 | 復制代碼 |
| ./config shared zlib-dynamic config完成后執行 make 命令 make make 命令執行完后再執行 make install 命令,安裝openssl make install 重命名原來的openssl命令 mv /usr/bin/openssl /usr/bin/openssl.old 重命名原來的openssl目錄 mv /usr/include/openssl /usr/include/openssl.old 將安裝好的openssl 的openssl命令軟連到/usr/bin/openssl ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl 將安裝好的openssl 的openssl目錄軟連到/usr/include/openssl ln -s /usr/local/ssl/include/openssl /usr/include/openssl 修改系統自帶的openssl庫文件,如/usr/local/lib64/libssl.so(根據機器環境而定) 軟鏈到升級后的libssl.so ln -s /usr/local/ssl/lib/libssl.so /usr/local/lib64/libssl.so 執行命令查看openssl依賴庫版本是否為1.0.1g: strings /usr/local/lib64/libssl.so |grep OpenSSL 在/etc/ld.so.conf文件中寫入openssl庫文件的搜索路徑 echo "/usr/local/ssl/lib" >> /etc/ld.so.conf 使修改后的/etc/ld.so.conf生效 |
|
ldconfig -v
查看現在openssl的版本是否是升級后的版本
openssl version
更新Webserver的 OpenSSL依賴庫
如果webserver在安裝編譯時加載了openssl,還需對webserver進行重啟或者重新編譯操作。因webserver安裝時分為動態編譯和靜態編譯openssl兩種方式,所以具體操作方式也不同。
判斷webserver是否為動態編譯ssl的兩種方法
通過ldd命令查看依賴庫
查看編譯參數
如輸入以命令/usr/sbin/nginx -V,查看nginx的編譯參數,參數中不存在--with-openssl則為動態編譯ssl的,反之為靜態:
更新OpenSSL庫
a) 如果webserver是動態編譯ssl安裝的,直接重啟apache,nginx等相應webserver服務即可。
b) 如果webserver是靜態編譯ssl安裝的,可參照以下方法更新:
apache靜態編譯ssl的情況:
源碼重新安裝apache,使用ssl靜態編譯:
執行apache的configure文件時,除了業務需要的參數外,需要指定ssl為靜態編譯
| 代碼如下 | 復制代碼 |
| ./configure --enable-ssl=static --with-ssl=/usr/local/ssl (openssl的安裝路徑) |
|
安裝apache
| 代碼如下 | 復制代碼 |
| make && make install | |
恢復原有apache配置,重啟服務即可
nginx靜態編譯ssl的情況:
源碼重新安裝nginx,使用ssl靜態編譯:
執行nginx的configure文件時,除了業務需要的參數外,需要指定ssl為靜態編譯,編譯參數帶上--with-openssl便表明為靜態編譯ssl
| 代碼如下 | 復制代碼 |
| ./configure --with-http_ssl_module --with-openssl=/usr/local/ssl (openssl的安裝路徑) |
|
安裝nginx
| 代碼如下 | 復制代碼 |
| make && make install | |
恢復原有nginx配置,重啟服務即可
如有其他使用openssl的情況,參照apache和nginx的解決方式。
測試漏洞是否存在
使用附件PoC.py根據腳本提示檢測是否存在漏洞。
如:
測試https://192.168.0.1漏洞是否存在執行命令如下
| 代碼如下 | 復制代碼 |
| python PoC.py -p 443,8443 192.168.0.1 |
|
檢測動態庫libssl.so版本
檢測當前進程使用的libssl.so版本
執行附件showssl.pl檢查腳本,無信息輸出或無漏洞版本openssl輸出,表示升級成功;如輸出中有unknown,請業務自查libssl.so.1.0.0的版本是否是受影響的版本。
(詳情見附件)
| 代碼如下 | 復制代碼 |
| #!/usr/bin/perl -w my @listInfo = `lsof |grep libssl|awk '{print $1" "$2" "$NF}'|sort -u`; foreach my $info (@listInfo) { my ($procName, $procPid, $libPath) = split(/s/, $info); next if (!defined($procName) || !defined($procPid)|| !defined($libPath)); my $version = `strings $libPath|grep -E "^OpenSSL [0-9]+.[0-9]+"`; chomp $version; if ($version =~ /s*OpenSSLs*1.0.1[a-f]{0,2}/) { print "$procName($procPid) : $libPath ($version).n"; } } |
|
檢測系統使用的libssl.so版本
執行命令:
| 代碼如下 | 復制代碼 |
| strings /usr/local/lib64/libssl.so |grep OpenSSL | |
查看openssl依賴庫版本是否為1.0.1g
注:/usr/local/lib64/libssl.so 路徑僅供參考,由具體機器環境決定,參考升級步驟