Lunedì, 7 aprile 2014, è stata comunicata una vulnerabilità di OpenSSL che è stata chiamata una delle peggiori falle di sicurezza nella storia recente di Internet. Il bug, chiamato il Heartbleed bug, è stato introdotto in OpenSSL versione 1.0.1. E' presente dal marzo del 2012 ed è patchato con OpenSSL versione 1.0.1g rilasciata il 7 aprile 2014. Il problema, etichettato CVE-2014-0160, è descritto in dettaglio qui.
Il bug consente a qualsiasi malintenzionato di leggere la memoria di un host vulnerabile, il che significa che tutte le chiavi che sono state utilizzate su un host con una versione vulnerabile di OpenSSL devono essere considerate compromesse. Le distribuzioni stanno aggiornando i loro pacchetti e spingendo gli aggiornamenti, ma gli utenti hanno bisogno di abbattere i più recenti pacchetti e revocare le chiavi precedenti basate su versioni insicure.
Vi mostrerò come aggiornare i propri sistemi con una versione sicura di OpenSSL, revocare i certificati SSL insicuri, e verificare se siete vulnerabili o meno.
Aggiorna il tuo Sistema
Il modo più semplice per aggiornare i pacchetti è quello di aggiornare l'intero sistema.
Su Ubuntu e Debian, puoi aggiornarlo digitando:
sudo apt-get updateSe si desidera solo di aggiornare i pacchetti interessati, e non aggiornare l'intero sistema (consigliato solo se si ha motivo di ritenere che gli aggiornamenti agli altri componenti romperanno il vostro sistema), si possono selettivamente aggiornare i pacchetti OpenSSL digitando:
sudo apt-get dist-upgrade
sudo apt-get install --only-upgrade opensslQuesto aggiornerà i pacchetti vulnerabili, lasciando il resto del sistema in uno stato non aggiornato.
sudo apt-get install --only-upgrade libssl1.0.0
Verifica i tuoi Numeri di Versione
Si consiglia di controllare la versione di OpenSSL dopo aver aggiornato il sistema.
Mentre OpenSSL versione 1.0.1g è il fix ufficiale di questo problema, la versione che corregge questo per diverse distribuzioni e versioni può variare. Alcune versioni e distribuzioni patchati le loro versioni più vecchie per risolvere il problema, piuttosto che rilasciare una versione completamente nuova in un vecchio, ecosistema stabile.
A causa di questo motivo, è meglio controllare attraverso il sistema di pacchettizzazione della vostra distribuzione, dal momento che il comando versione openssl potrebbe non riflettere le informazioni necessarie.
Releases Debian e Ubuntu e Versioni Corrette
Per i sistemi Debian e Ubuntu, ottieni la versione di OpenSSL digitando:
dpkg -l | grep "openssl"Per gli utenti Debian, la release di Debian che si esegue determinerà la versione corretta per la correzione. Se la versione di OpenSSL è almeno recente come la versione elencata qui per la vostra distribuzione, dovreste essere protetti:
- Debian 6 (Squeeze): Non influenzato (fornito con una versione precedente alla vulnerabilità)
- Debian 7 (Wheezy): 1.0.1e-2+deb7u6
- Debian testing (Jessie): 1.0.1g-1
- Debian unstable (Sid): 1.0.1g-1