GNU/Linux >> Linux の 問題 >  >> Ubuntu

サーバーがOpensslHeartbleedの脆弱性(CVE-2014-0160)の影響を受けているかどうかを確認する方法と、それを修正する方法

このページについて

  1. サーバーが影響を受けているかどうかを確認します
  2. 脆弱性を修正する
  3. Linuxアップデートが正しいパッケージをインストールしたかどうかを確認します
  • テスト
  • howtoforgeフォーラムのこのトピックに関するQ&A

    • バージョン1.2
    作成者:Till Brehm
    TwitterでHowtoforgeをフォロー

    OpenSSLに重大な脆弱性が発見されました。この脆弱性は、Heartbleedという名前で、Opensslバージョン1.0.1からバージョン1.0.1fまでのハートビートの実装に影響を与えます。この柔軟性はSSL接続の秘密鍵を取得するために使用できるため、サーバーをすぐに更新することが重要です。このバグはOpenSSL1.0.1gで修正されています。すべての主要なLinuxディストリビューションには、この脆弱性に対するリリースアップデートがあります。

    サーバーが影響を受けているかどうかを確認します

    コマンドを実行します:

    opensslバージョン

    opensslのバージョン番号を取得します。コマンドに次のように表示される場合:

    opensslバージョン
    OpenSSL1.0.1e2013年2月11日

    その場合、バージョンが1.0.1g未満であるため、サーバーが脆弱になる可能性があります。ただし、一部のLinuxディストリビューションはパッケージにパッチを適用しています。サーバー上のパッケージにパッチが適用されているかどうかを確認する手順については、以下を参照してください。

    サーバーがDebiansqueezeで使用されているような0.9.8リリースを使用している場合、ハートビート機能はOpenSSL 1.0.1以降のバージョンでのみ実装されているため、サーバーは脆弱ではありません。

    opensslバージョン
    OpenSSL0.9.8o2010年6月1日

    脆弱性を修正する

    この脆弱性を修正するには、サーバーの最新の更新をインストールしてください。

    Debian

    apt-get update
    apt-get upgrade

    Ubuntu

    apt-get update
    apt-get upgrade

    FedoraとCentOS

    yum update

    OpenSuSE

    zypperアップデート

    次に、OpenSSLを使用するすべてのサービスを再起動します。 ISPConfig 3サーバーで、再起動します。これらのサービス(インストール時):sshd、apache、nginx、postfix、dovecot、courier、pure-ftpd、bind、mysql。サービスを見逃していないことを絶対に確認したい場合は、シェルで「再起動」を実行してサーバー全体を再起動します。

    Linuxアップデートが正しいパッケージをインストールしたかどうかを確認します

    Linuxアップデートをインストールした後、opensslパッケージが正しくアップグレードされているかどうかを確認してください。一部のLinuxディストリビューションは
    パッチパッケージであるため、「opensslバージョン」は、脆弱性を修正する正しいパッチがインストールされているかどうかを常に表示するとは限りません。

    DebianとUbuntuのパッケージを確認してください:

    dpkg-query -l'openssl'

    正しくパッチが適用されたDebian7(Wheezy)サーバーの出力は次のとおりです。

    dpkg-query -l'openssl'
    Desired =Unknown / Install / Remove / Purge / Hold
    | Status =Not / Inst / Conf-files / Unpacked / halF-conf / Half-inst / trigger-aWait / Trig-pend
    | / Err?=(none)/ Reinst-required(Status、Err:uppercase =悪い)
    ||/名前バージョンアーキテクチャ説明
    +++-===================-===============-==============-============================================
    ii openssl 1.0.1e-2 + deb7u5 amd64 Secure Socket Layer(SSL)バイナリおよび関連

    FedoraおよびCentOSの場合、次のコマンドを使用して、インストールされているパッケージ名を検索します。

    rpm -qa | grep openssl

    修正バージョンのパッケージ名を含むリリースノートへのリンクは次のとおりです。

    Debian:http://www.debian.org/security/2014/dsa-2896
    Ubuntu:http://www.ubuntu.com/usn/usn-2165-1/
    Fedora:https ://lists.fedoraproject.org/pipermail/announce/2014-April/003206.html
    CentOS:http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html

    テスト

    サーバーのセキュリティホールを正常に閉じたかどうかを確認するためのテストが利用可能になりました。テストはここにあります:

    http://filippo.io/Heartbleed/

    howtoforgeフォーラムのこのトピックに関するQ&A

    howtoforgeフォーラムのこのトピックに関する質問と回答:

    https://www.howtoforge.com/forums/showthread.php?t=65498


    Ubuntu

    1. マシンに構成されているDNSサーバーを確認する方法は? Linux / Windows / OSX

    2. Apache / NGINX WebサーバーとSMTPのDROWN脆弱性を修正するにはどうすればよいですか?

    3. コマンドラインからBluezのバージョンを調べるには?

    1. グローバルメニューを有効にしてHudを修正する方法(10.04から12.04にアップグレードした後)?

    2. cPanel でサーバーの共有 IP アドレスを見つける方法

    3. プログラムがデッドロック状態にあることを検出して見つける方法は?

    1. LinuxでIPアドレスを検索または確認する方法

    2. RaspberryPiでFTPサーバーを設定する方法

    3. HTTPOXYの脆弱性:Webサーバーを保護およびテストする方法