Corrigez les vulnérabilités OpenSSL sur CentOS, Debian, Ubuntu et RHEL ! [1.0.1e-fips]

Si vous trouvez vos machines de production utilisant OpenSSL version 1.0.1, 1.0.0 et 0.9.8, alors voici une vulnérabilité sérieuse signalée en mars 2015 - OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291) et reclassifié :RSA en mode silencieux rétrogradations vers EXPORT_RSA [Client] (CVE-2015-0204).

Eh bien, les deux ci-dessus ont été classés comme étant de gravité élevée parmi les nombreuses vulnérabilités signalées ici. La liste des versions OpenSSL concernées est 1.0.1, 1.0.0 et 0.9.8. Selon les rapports de l'équipe de publication d'OpenSSL, les vulnérabilités ne sont pas graves car le bogue Heartbleed a été découvert en avril 2014. Mais la mise à niveau vers la dernière version empêchera les attaques par déni de service.

Les vulnérabilités identifiées peuvent être corrigées en mettant à jour la version d'OpenSSL sur vos systèmes exécutant CentOS, RHEL, Debian et Ubuntu.

Voyons comment mettre à jour OpenSSL,

Prérequis :Privilèges ROOT

Comment trouver la version d'OpenSSL installée ?

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

(OU)

$ yum list installed openssl
openssl.x86_64                    1.0.1e-16.el6_5.4                     @updates

La ‘version openssl ' devrait également fonctionner sur Debian et Ubuntu. Vous pouvez également exécuter la commande ci-dessous.

[debian/ubuntu ] $ sudo dpkg -l | egrep  '^ii.*openssl'

Corriger/Corriger OpenSSL en passant à la dernière version

$sudo yum update openssl

Exemple de sortie :

Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 0:1.0.1e-16.el6_5.4 will be updated
--> Processing Dependency: openssl = 1.0.1e-16.el6_5.4 for package: openssl-devel-1.0.1e-16.el6_5.4.x86_64
---> Package openssl.x86_64 0:1.0.1e-30.el6.8 will be an update
--> Running transaction check
---> Package openssl-devel.x86_64 0:1.0.1e-16.el6_5.4 will be updated
---> Package openssl-devel.x86_64 0:1.0.1e-30.el6.8 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

=============================================================================================================================================================
 Package                                 Arch                             Version                                    Repository                         Size
=============================================================================================================================================================
Updating:
 openssl                                 x86_64                           1.0.1e-30.el6.8                            updates                           1.5 M
Updating for dependencies:
 openssl-devel                           x86_64                           1.0.1e-30.el6.8                            updates                           1.2 M

Transaction Summary
=============================================================================================================================================================
Upgrade       2 Package(s)

Total download size: 2.7 M
Downloading Packages:
(1/2): openssl-1.0.1e-30.el6.8.x86_64.rpm                                                                                             | 1.5 MB     00:08
(2/2): openssl-devel-1.0.1e-30.el6.8.x86_64.rpm                                                                                       | 1.2 MB     00:08
-------------------------------------------------------------------------------------------------------------------------------------------------------------
Total                                                                                                                        156 kB/s | 2.7 MB     00:17
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Updating   : openssl-1.0.1e-30.el6.8.x86_64                                                                                                            1/4
  Updating   : openssl-devel-1.0.1e-30.el6.8.x86_64                                                                                                      2/4
  Cleanup    : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                    3/4
  Cleanup    : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                          4/4
  Verifying  : openssl-1.0.1e-30.el6.8.x86_64                                                                                                            1/4
  Verifying  : openssl-devel-1.0.1e-30.el6.8.x86_64                                                                                                      2/4
  Verifying  : openssl-1.0.1e-16.el6_5.4.x86_64                                                                                                          3/4
  Verifying  : openssl-devel-1.0.1e-16.el6_5.4.x86_64                                                                                                    4/4
Updated:
  openssl.x86_64 0:1.0.1e-30.el6.8
Dependency Updated:
  openssl-devel.x86_64 0:1.0.1e-30.el6.8
Complete!

Sur les machines Debian et Ubuntu :

[debian/ubuntu ] $ apt-get update
[debian/ubuntu ] $ apt-get upgrade

Eh bien, vous aviez mis à jour OpenSSL. Maintenant, vous pouvez redémarrer votre serveur ou redémarrer les services qui utilisent OpenSSL.

Comment trouver les services qui utilisent OpenSSL ?

La commande ci-dessous répertorie les services en cours d'exécution et utilisant la bibliothèque OpenSSL.

$lsof | grep libssl | awk '{print $1}' | sort | uniq
data-down
httpd
master
mysqld
php
pickup
postmaste

Redémarrez tous les services et c'est tout, vous avez corrigé les vulnérabilités d'OpenSSL version 1.0.2, 1.0.1, 1.0.0 et 0.9.8.

Remarque : Même si je ne mets pas à jour ce message à l'avenir, vous devez vous assurer que votre système est toujours mis à jour avec les derniers correctifs.

Lire aussi :Liste des commandes OpenSSL utiles