X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> [ВАЖНО] Патчим OpenSSL на сервере!, Быстрая инструкция, как обновить OpenSSL
money_maker
money_maker
Topic Starter сообщение 9.4.2014, 18:43; Ответить: money_maker
Сообщение #1


Частый гость
**

Группа: User
Сообщений: 62
Регистрация: 3.7.2010
Поблагодарили: 11 раз
Репутация:   1  


Сегодня рег.ру хостер прислал вот такое письмо с инструкцией, как быстро пропатчить уязвимость!

Вы являетесь владельцем VPS сервера. Обращаем Ваше внимание, что для используемой Вами операционной системы, была найдена критическая уязвимость безопасности в OpenSSL 1.0.1 и 1.0.2-beta. Более подробно о ней Вы можете прочитать здесь http://heartbleed.com/
Уязвимость касается openssl и программы, в работе которых нужна данная библиотека. Сервер openssh проблема не затронула.

Для устранения данной уязвимости Вам нужно обновить пакет openssl. Сделать это можно, выполнив команды, приведенные ниже

Для ОС CentOS:
yum clean all
yum update openssl
service httpd restart

Для ОС Debian:
apt-get update
apt-get install openssl
/etc/init.d/apache2 restart

Описание проблемы:
В начале этой недели технологическое сообщество было ошарашено открытием уязвимости «Heartbleed» в пакете OpenSSL, который обеспечивает https-соединения между сервером и пользователем. Эта уязвимость давала возможность читать небольшие куски оперативной памяти сервера. Таким образом, злоумышленники могли получать доступ к логинам и паролям пользователей, их Cookie или даже к приватным SSL-ключам сервера.

Ошибка закралась в код OpenSSL ещё два года назад, но сотрудник Google Нил Мехта и специалисты компании Codenomicon обнаружили её только сейчас.

Открытие бага Heartbleed спровоцировало широкое общественное обсуждение — это вызвано его потенциальной опасностью. Разработчики оперативно выпустили патч, но десятки миллионов серверов были подвержены уязвимости с 2012 года.

Библиотека OpenSSL не так известна за пределами мира программистов и администраторов, но примерно две трети всех серверов в мире используют эту технологию (в том числе Google, «Яндекс» и «Альфабанк» — используя Heartbleed, мошенники могли перехватывать письма или заполучить доступ к онлайн-банкингу). Каждый специалист, узнавший об уязвимости, сейчас пытается всё исправить. Уязвимости оказались подвержены крупные компании — к примеру, эксперты советуют пользователям Yahoo аккуратнее обращаться со своими аккаунтами до тех пор, пока сервера корпорации не обновятся полностью.

Впрочем, несмотря на то, что злоумышленники могли получить доступ к логинам и паролям пользователей, сервисы, предоставляющие двухфакторную авторизацию, оказались в безопасности. Один из самых крупнейших онлайн bitcoin-кошельков Blockchain также заявил о том, что его пользователи в безопасности благодаря специалистам компании Cloudflare и тому, что пароли пользователей никогда не отправляются на сервер.

Более маленькие компании, включая Imgur, Flickr, LastPass, тоже оказались под ударом. LastPass, впрочем, утверждает, что утечек незашифрованных данных не произошло. Исследователь из International Computer Science Institute Николас Вивер сказал изданию The Verge, что это «катастрофически ужасная, просто очень разрушительная уязвимость. В течение всего года будут обнаруживаться уязвимые сервера, и всё будет полностью исправлено ещё не скоро».

Большинство средств безопасности, которые основываются на OpenSSL, также оказались в шатком положении. Даже в заявлении от проекта Tor говорится, что «если вам нужна полная анонимность и безопасность в интернете, вам, скорее всего, придётся полностью воздержаться от посещения интернета в течение следующих нескольких дней, пока всё не уляжется». Причём несколькими днями всё может не ограничиться — этого времени хватит, чтобы устранить уязвимость на серверах, но в том случае, если кому-то удастся получить приватную информацию, ситуация так скоро не разрешится. Можно сбросить сертификаты на серверах, но это дорого и медленно — многие, возможно, решат ограничиться лишь патчем.

Apple и Microsoft избежали угрозы, так как используют собственные криптографические инструменты. Та же самая ситуация с крупнейшими банковскими и финансовыми сервисами. Yahoo, с другой стороны, оказалась подвержена уязвимости, и на момент написания этого текста обновляет ПО на своих серверах. Даже больше — любой сервер, работающий на Apache или Nginx, может быть подвержен этой уязвимости, следовательно, угроза нависла над огромным количеством популярных сайтов и сервисов.

Существует несколько способов проверить, какие сайты остались в безопасности — этих способов мало и они все ненадёжны. Этот сервис показывает, был ли установлен патч (допускается погрешность). Каждому серверу также придётся сгенерировать новые SSL-сертификаты, чтобы не дать злоумышленникам возможность воспользоваться выманенными ключами. Можно проверить сервер SSL-трекером, чтобы узнать дату выпуска сертификата (которая, соответственно, должна следовать после даты последнего патча).

Пока слишком рано судить о последствиях этой уязвимости, но некоторые уроки уже можно извлечь. OpenSSL поддерживает огромную инфраструктуру, но не получает достаточного финансирования — некоторые эксперты уже призывают пожертвовать некоторую сумму на нужды разработчиков, чтобы предупредить появление таких багов впредь. Perfect Forward Secrecy также могло бы предотвратить неприятные последствия уже вскрывшегося бага.

К тому же, такие баги очень сложно отыскивать — они могут проявиться во время проверки состояния памяти, но их нельзя обнаружить, просто внимательно проглядев код.
источник

Сообщение отредактировал money_maker - 9.4.2014, 18:49


Поблагодарили: (2)
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
WebGraf
WebGraf
сообщение 11.4.2014, 1:26; Ответить: WebGraf
Сообщение #2


Завсегдатай
*****

Группа: Active User
Сообщений: 914
Регистрация: 13.1.2011
Поблагодарили: 134 раза
Репутация:   15  


Ваша тема опоздала почти на две сутки, к сожалению.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Ilya-X5X
Ilya-X5X
сообщение 11.4.2014, 18:25; Ответить: Ilya-X5X
Сообщение #3


Участник
***

Группа: User
Сообщений: 105
Регистрация: 15.7.2010
Поблагодарили: 11 раз
Репутация:   1  


Это ещё что. RapidSSL (GeoTrust) вообще только сегодня утром прислал уведомление.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
money_maker
money_maker
Topic Starter сообщение 18.4.2014, 14:46; Ответить: money_maker
Сообщение #4


Частый гость
**

Группа: User
Сообщений: 62
Регистрация: 3.7.2010
Поблагодарили: 11 раз
Репутация:   1  


Цитата(WebGraf @ 11.4.2014, 1:26) *
Ваша тема опоздала почти на две сутки, к сожалению.

сутки или нет, я обычный человек. за что минуса за эту тему??? много кто еще не устранил уязвимость, и такие сервера еще долго будут обнаруживаться.

мне вот в тот день как прислал инструкцию мой хостер, то я тут написал о теме. За что минуса? За то что другим помог, разместив тут команды для быстрого патчинга???
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
WebGraf
WebGraf
сообщение 18.4.2014, 15:17; Ответить: WebGraf
Сообщение #5


Завсегдатай
*****

Группа: Active User
Сообщений: 914
Регистрация: 13.1.2011
Поблагодарили: 134 раза
Репутация:   15  


Спросите у тех кто ставил, как я вижу -3.

Кроме этого, без понимания вопроса ваша тема ничего не дает. Уязвимость остается. На большинстве серверов SSL не используется апачем, а веб-сервером nginx. Вы не упоминули об этом. Также может использоватся в vpn, в почтовых сервисах и прочем. Информация есть? Нету.
Помимо этого даже если ssl на апаче ваша инструкция не закрывает уязвимость, так как обновление openssl без обновления libssl ничего не дает.

Т.е. этот репост технической ценности не имеет.

money_maker, если б вы предоставили просто информацию об уязвимости это одно и это была бы хорошая тема. Но вы предоставили информацию об локализации уязвимости. При этом, благодаря такой инструкции, веб-мастера пойдут спокойно спать, считая что обезопасили свой сервер. Но это не так в большинстве случаев. И не видя вашей темы веб-мастер бы обратился к администратору, и проблема была бы решена. А после такой весьма неполной информации вы вводите веб-мастеров в заблуждение и сервера остаются уязвимыми!

Теперь понимаете, почему такое отношение к вашей теме?

Сообщение отредактировал WebGraf - 18.4.2014, 14:54
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
akkyoh
akkyoh
сообщение 19.4.2014, 0:53; Ответить: akkyoh
Сообщение #6


Участник
***

Группа: User
Сообщений: 101
Регистрация: 26.4.2013
Поблагодарили: 8 раз
Репутация:   3  


WebGraf, однако даже спустя неделю с момента обнародования многие сайты уязвимы. С учетом того, что в этой ветке я больше не вижу упоминаний данной уязвимости, то автору ставлю плюс. Старается, информирует.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
WebGraf
WebGraf
сообщение 19.4.2014, 10:37; Ответить: WebGraf
Сообщение #7


Завсегдатай
*****

Группа: Active User
Сообщений: 914
Регистрация: 13.1.2011
Поблагодарили: 134 раза
Репутация:   15  


За информатирование +.
За дезинформирование что обновлять нужно только openssl -.
За дезинформирование что перезагружать нужно только апач (может как раз его вовсе не нужно) -.

akkyoh, и еще многие останутся уязвимыми если прочли только старпост этой темы. И в этом заслуга автора.

Большинство вменяемых дата центров информировали своих клиентов, большинство хостеров информировали клиентов, арендующих сервера. По этому те кто хостятся в адекватных дц/хостеров получили уведомление. Кто знал как сам исправил. Кто не знал обратился к кому то за помощью. А те кто прочли только старпост остались уязвимыми по сей день. Если за это нужно говорить спасибо, ну тогда извините, видимо я чего то непонимаю.

Сообщение отредактировал WebGraf - 19.4.2014, 10:37


--------------------
EuroHoster.org - территория быстрых серверов
30% скидка на VPS SSD в Нидерландах - промо-код Winter.2017
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
akkyoh
akkyoh
сообщение 19.4.2014, 23:16; Ответить: akkyoh
Сообщение #8


Участник
***

Группа: User
Сообщений: 101
Регистрация: 26.4.2013
Поблагодарили: 8 раз
Репутация:   3  


WebGraf, автор не писал, что нужно обновить только OpenSSL. Сообщено, что уязвимость в данном пакете. Далее приведен распространенный случай обновления.

Люди могут вовсе использовать собственное программное обеспечение, которое использует OpenSSL, Вы, как хостер о нём даже знать не будете, следовательно также бы сказали бы клиенту обновите OpenSSL. Я это к тому, что для опытного администратора важен факт уязвимости, а что и как устранять он сам уже разберется.

Для примера, Вы можете привести список программного обеспечения, который использует OpenSSL. Вышлите их клиентам, чтобы они всё обновили и проверили. Но может найтись такой клиент, который использует какое-то ПО, которого нет в Вашем списке, но оно все равно будет уязвимо, например, без его обновления.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
WebGraf
WebGraf
сообщение 19.4.2014, 23:20; Ответить: WebGraf
Сообщение #9


Завсегдатай
*****

Группа: Active User
Сообщений: 914
Регистрация: 13.1.2011
Поблагодарили: 134 раза
Репутация:   15  


akkyoh, а вы пост читали вообще?
Цитата
Для устранения данной уязвимости Вам нужно обновить пакет openssl. Сделать это можно, выполнив команды, приведенные ниже

Не перечьте тому что написано. Назад уже не вернешь того что сделано. Увы.

Цитата
может найтись такой клиент

Именно по этому те кто понимают проблему не расписывают по пункам что нужно сделать, так как это индивидуально все для каждого сервера.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
akkyoh
akkyoh
сообщение 20.4.2014, 0:13; Ответить: akkyoh
Сообщение #10


Участник
***

Группа: User
Сообщений: 101
Регистрация: 26.4.2013
Поблагодарили: 8 раз
Репутация:   3  


WebGraf, автор упоминает об уязвимости в пакете и говорит, как обновить этот пакет. Базовая информация предоставлена. Далее, в цитировании источника есть такой момент:

Цитата
Даже больше — любой сервер, работающий на Apache или Nginx, может быть подвержен этой уязвимости, следовательно, угроза нависла над огромным количеством популярных сайтов и сервисов.


То есть, кратко, но также описано, что Apache и Nginx используют SSL и могут бы тоже уязвимы, как и любое другое ПО использующее OpenSSL уязвимых версий. Далее есть и ссылка, как проверить, уязвим ли сервер.
Базовая информация предоставлена. Лично мне хватило бы этой информации для устранения уязвимости. Кому недостаточно, думаю нашли бы необходимую для себя информацию.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыВажно мнение по сайту
Буду признателен мнению по amosupport.by
7 malo 744 Вчера, 18:17
автор: Catherine_Molli
Открытая тема (нет новых ответов) Перекрёстный обмен ссылками, тИЦ и PR не важно!
мебель, ремонт квартир, недвижимость, туризм, праздники, одежда...
5 funky28 1441 25.8.2012, 5:07
автор: ZaDrotom


 



RSS Текстовая версия Сейчас: 14.12.2017, 21:25
Дизайн