Sur cette page
- Découvrez si votre serveur est concerné
- Corrigez la vulnérabilité
- Vérifiez si la mise à jour Linux a installé le bon package
Version 1.2
Auteur :Till Brehm
Suivez Howtoforge sur Twitter
Une vulnérabilité grave dans OpenSSL a été trouvée, la vulnérabilité est nommée Heartbleed et affecte l'implémentation de heartbeat dans Openssl version 1.0.1 jusqu'à la version 1.0.1f. Cette velnérabilité peut être utilisée pour obtenir la clé privée d'une connexion SSL, il est donc important de mettre à jour le serveur immédiatement. Le bogue est corrigé dans OpenSSL 1.0.1g. Toutes les principales distributions Linux ont des mises à jour de version de la vulnérabilité.
Savoir si votre serveur est affecté
Exécutez la commande :
version openssl
pour obtenir le numéro de version d'openssl. Si la commande affiche par exemple :
version openssl
OpenSSL 1.0.1e 11 février 2013
alors votre serveur pourrait être vulnérable car la version est inférieure à 1.0.1g. Mais certains packages de correctifs de distributions Linux, voir ci-dessous pour obtenir des instructions pour savoir si le package sur votre serveur a été corrigé.
Si votre serveur utilise une version 0.9.8 telle qu'elle est utilisée sur Debian squeeze, alors le serveur n'est pas vulnérable car la fonction heartbeat a été implémentée dans OpenSSL 1.0.1 et les versions ultérieures uniquement.
version openssl
OpenSSL 0.9.8o 01 juin 2010
Corriger la vulnérabilité
Pour corriger la vulnérabilité, installez les dernières mises à jour pour votre serveur.
Debian
apt-get update
apt-get upgrade
Ubuntu
apt-get update
apt-get upgrade
Fedora et CentOS
miam mise à jour
OpenSuSE
mise à jour de zypper
Redémarrez ensuite tous les services qui utilisent OpenSSL. Sur un serveur ISPConfig 3, redémarrez par ex. ces services (quand ils sont installés) :sshd, apache, nginx, postfix, dovecot, courier, pure-ftpd, bind et mysql. Si vous voulez être absolument sûr de ne pas avoir manqué un service, redémarrez tout le serveur en exécutant "reboot" sur le shell.
Vérifier si la mise à jour Linux a installé le bon package
Après avoir installé les mises à jour Linux, vérifiez si le package openssl a été correctement mis à niveau. Certaines distributions Linux
packages de correctifs, donc "openssl version" n'indique pas toujours si le correctif correct qui corrige la vulnérabilité a été installé.
Vérifiez le paquet sur Debian et Ubuntu :
dpkg-query -l 'openssl'
Voici la sortie pour un serveur Debian 7 (Wheezy) correctement patché :
dpkg-query -l 'openssl'
Desired=Inconnu/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err :majuscule=mauvais)
||/ Nom Version Architecture Description
+++-===================-================-==============-============================================
ii openssl 1.0.1e-2+deb7u5 amd64 Secure Socket Layer (SSL) binaire et associés
Pour Fedora et CentOS, utilisez cette commande pour trouver le nom du package installé :
rpm -qa | grep ouvre SSL
Voici les liens avec les notes de version contenant les noms de packages des versions corrigées :
Debian :http://www.debian.org/security/2014/dsa-2896
Ubuntu :http://www.ubuntu.com/usn/usn-2165-1/
Fedora :https ://lists.fedoraproject.org/pipermail/announce/2014-April/003206.html
CentOS :http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html
Tester
Il existe maintenant un test disponible pour vérifier si vous avez réussi à fermer la faille de sécurité de votre serveur. Le test est disponible ici :
http://filippo.io/Heartbleed/
Questions et réponses sur ce sujet dans le forum howtoforge
Questions et réponses sur ce sujet dans le forum howtoforge :
https://www.howtoforge.com/forums/showthread.php?t=65498