GNU/Linux >> Tutoriels Linux >  >> Cent OS

Protégez les serveurs CentOS 6 contre une nouvelle vulnérabilité OpenSSL

CloudLinux offre un support étendu jusqu'en 2024 pour protéger vos serveurs CentOS 6 contre une nouvelle vulnérabilité OpenSSL.

OpenSSL a récemment publié un correctif de sécurité pour une découverte de haut niveau qui affecte tous les serveurs exécutant les versions 1.0.2 et 1.1.1. Malheureusement, OpenSSL a annoncé qu'il ne publierait pas de correctifs pour CentOS 6, uniquement CentOS 7 et CentOS 8. Cela laisse tout serveur exécutant OpenSSL non corrigé, y compris le système d'exploitation CentOS 6, vulnérable au déni de service (DoS) où les logiciels, les services critiques, ou le système d'exploitation pourrait planter. CloudLinux, cependant, corrigera les versions actuelles d'OpenSSL, la version 1.0.1 non prise en charge et les serveurs exécutant le système d'exploitation CentOS 6.

Détails de la vulnérabilité pour CVE-2020-1971

OpenSSL a une fonction nommée GENERAL_NAME_cmp() qui compare deux paramètres et effectue les deux actions suivantes :

  1. Compare un certificat X.509 avec des éléments d'une liste de révocation de certificats (CRL).
  2. Compare un horodatage du signataire du jeton de réponse avec l'horodatage d'un nom d'autorité.

La fonction est importante dans la communication sécurisée pour garantir que le certificat n'a pas été révoqué. Les organisations d'autorité de certification (CA) révoquent les certificats pour plusieurs raisons. Si les clés privées d'un serveur sont volées en raison d'une compromission, une autorité de certification révoquera les certificats pour protéger l'intégrité de la communication. D'autres raisons de révocation incluent l'utilisation abusive d'un certificat et un nouveau doit être publié, l'autorité de certification est compromise ou l'autorité de certification a créé des certificats sans l'autorisation du propriétaire du domaine. Dans tous ces cas, un attaquant pourrait se faire passer pour le domaine ciblé et amener les utilisateurs à faire confiance à un site, ce qui pourrait alors conduire à une attaque de phishing sophistiquée et à la divulgation de données sensibles.

Si un attaquant peut contrôler les deux paramètres passés au GENERAL_NAME_cmp() fonction, une condition DoS sera remplie si les deux paramètres sont du même type. Un chercheur de Google qui a trouvé la vulnérabilité a pu effectuer une démonstration de preuve de concept en passant à la fonction deux paramètres de type EDIPartyName , défini dans le code OpenSSL.

Le correctif pour la vulnérabilité, attribué ID CVE-2020-1971 , a été publié le 8 décembre 2020. Les modifications apportées au code open source sont disponibles sur le dépôt Github d'OpenSSL. . Vous pouvez en savoir plus sur la vulnérabilité dans l'annonce d'OpenSSL page.

Que peut-il se passer si OpenSSL n'est pas corrigé ?

Bien que l'exécution de code à distance (RCE) ne soit pas un problème, les serveurs non corrigés pourraient être soumis à un DoS et potentiellement à une condition de déni de service distribué (DDoS) où les services pourraient être mis hors ligne et indisponibles pour les utilisateurs. Les serveurs critiques qui doivent rester disponibles pour la productivité de l'entreprise ou doivent être en ligne pour respecter les accords de niveau de service pourraient être une cible pour les attaquants. CVE a défini le niveau de risque sur "Élevé", ce qui signifie qu'il est considéré comme une grave vulnérabilité pour les organisations. Seules les vulnérabilités étiquetées "Critiques" sont plus graves, et ces vulnérabilités se produisent environ une fois tous les cinq ans.

Atténuation avec prise en charge étendue de CentOS 6 et/ou KernelCare+

Le support étendu de CloudLinux pour CentOS 6 propose ce correctif de sécurité à ses clients. La fin de vie (EOL) de CentOS 6 était novembre 2020, mais CloudLinux offre une prise en charge étendue jusqu'en 2024 pour protéger les serveurs de la vulnérabilité openSSL jusqu'à ce que les administrateurs puissent passer aux nouvelles versions du système d'exploitation. Pour vous inscrire au support étendu, remplissez ce formulaire .

KernelCare prend également en charge les correctifs en direct pour OpenSSL ainsi que plusieurs autres bibliothèques partagées .

Installation de la prise en charge étendue de CloudLinux pour CentOS 6

L'installation de CloudLinux Extended Support ne nécessite que quelques commandes.

Téléchargez le script d'installation :

wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.py

Exécutez le script d'installation (notez que vous avez besoin de votre clé de licence) :

python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX

La commande ci-dessus installera le centos-els-release package contenant la clé PGP du référentiel. Vous pouvez vous assurer que l'installation est terminée en exécutant la commande suivante :

rpm -q centos-els-release

La sortie de la commande ci-dessus doit afficher :

centos-els-release-6-6.10.1.el6.x86_64

Remarque : Les clients existants qui utilisaient encore CentOS au 1er décembre 2020 ont été automatiquement convertis au support EOL.

Installer KernelCare+

KernelCare+ est aussi simple que d'installer CloudLinux ES. Pour installer KernelCare+, exécutez l'une des commandes suivantes :

curl -s -L https://kernelcare.com/installer | bash

Ou,

wget -qq -O - https://kernelcare.com/installer | bash

Pour plus d'informations sur l'installation de KernelCare+, consultez la documentation officielle .

Conclusion

Les chercheurs indiquent que cette vulnérabilité OpenSSL est beaucoup plus difficile à exploiter, mais cela ne signifie pas que vous devez retarder la mise à jour de vos serveurs. Que vous envisagiez de le faire manuellement, de mettre à niveau vers la nouvelle version d'OpenSSL ou d'opter pour les correctifs en direct de KernelCare+, faites-le immédiatement ! OpenSSL reste l'une des technologies les plus ciblées sur les logiciels, et les attaques DDoS sont plus fréquentes qu'il n'y paraît.

Lire connexe :

  • 5 outils de correction en direct du noyau qui vous aideront à exécuter des serveurs Linux sans redémarrage

Cent OS
  1. Mise à niveau vers CentOS 6.2 à partir de CentOS 6.1 / CentOS 6.0

  2. Mise à niveau de CentOS 6 vers CentOS 7

  3. Comment mettre à niveau CentOS 6.10 à partir de CentOS 6.9-6.0

  4. Comment mettre à niveau CentOS 7.8 à partir de CentOS 7.7-7.0

  5. Installer Nessus Vulnerability Scanner sur CentOS

Comment migrer vers AlmaLinux 8.4 depuis CentOS Linux

Comment migrer vers Rocky Linux 8.4 à partir de CentOS Linux

Comment migrer de CentOS 8 vers CentOS Stream Server :

Comment migrer de CentOS 8 vers AlmaLinux 8.

Comment installer OpenSSL sur CentOS 8

Centos – Wireguard n'achemine pas le trafic du client vers d'autres serveurs du réseau ?