Questo server è vulnerabile alla vulnerabilità Oracle OpenSSL Padding (CVE-2016-2107) e non sicuro. Grado impostato su F

1

Sto verificando il mio nome di dominio con SSL LABS e ottenuto Grade F

e ho ricevuto questo messaggio

This server is vulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107) and insecure. Grade set to F.

utilizzo Ubuntu e ho implementato i seguenti passaggi: -

**sudo apt-get update && sudo apt-get upgrade**

e seguenti passaggi

  1. sudo apt-get install make (installa la libreria di compilazione Crea)
  2. wget link
  3. tar -xzvf openssl-1.0.2g.tar.gz
  4. cd openssl-1.0.2g
  5. sudo ./config
  6. sudo make install
  7. sudo ln -sf / usr / local / ssl / bin / openssl which openssl

dopo questo comando versione openssl -v e ho ottenuto il risultato OpenSSL 1.0.2g 1 mar 2016

Qualche idea sul motivo per cui sto riscontrando questo ** problema di vulnerabilità del cuscinetto Oracle Oracle (CVE-2016-2107) ? ** La mia versione di Ubuntu è

Distributor ID: Ubuntu
Description:    Ubuntu 14.04.5 LTS
Release:        14.04

Grazie in anticipo.

    
posta Ankita Kashyap 08.11.2016 - 07:11
fonte

2 risposte

3

Stai ottenendo quel risultato perché stai utilizzando una versione vulnerabile di OpenSSL ... se controlli le vulnerabilità OpenSSL pagina (cerca nella pagina 2107 per trovare questo CVE), vedrai che non è stato risolto fino a OpenSSL 1.0.2 h . 1.0.2g è vulnerabile. Perché dovresti scegliere wget 1.0.2g, comunque? La versione corrente del ramo 1.0.2 è 1.0.2 j , che è stata rilasciata a fine settembre.

Se stai chiedendo perché il repository di Ubuntu 14.04 abbia una versione pericolosamente obsoleta di OpenSSL, posso solo offrire due risposte:

  1. Stai usando Ubuntu, che nella mia esperienza non è molto buono per il backporting del software per le versioni precedenti (sì, anche per le versioni LTS). Una volta superata la linea dei 24 mesi, ti fanno cadere come una roccia calda.
  2. La tua versione di Ubuntu ha 2,5 anni e dovresti passare alla 16.04 (o 16.10).

OpenSSL 1.0.2h è uscito due mesi dopo 1.0.2g, e in quel momento è stato cancellato dalla finestra di supporto biennale per la build Ubuntu 14.04, quindi hanno smesso di preoccuparsene. Ubuntu 16.04 o 16.10 dovrebbe andare bene, o qualsiasi distro che la sicurezza dei backport risolva per più di due anni (che, certamente, non molti fanno).

Per aggiornare, usa il comando sudo do-release-upgrade (vedi questa pagina per maggiori informazioni) dalla riga di comando. Le build LTS (Long-Term Support) eseguiranno l'aggiornamento solo alle nuove build LTS. L'aggiornamento stesso richiederà un po 'di tempo, ma in seguito eseguirai Ubuntu 16.04 e avrai accesso ai suoi repository. Ciò ti consentirà di mantenere aggiornato il tuo software, almeno fino a quando il periodo di supporto per tale versione scadrà tra 17 mesi.

Dopo l'aggiornamento, dovresti eseguire nuovamente sudo apt-get update && sudo apt-get upgrade , per assicurarti che tutti i tuoi pacchetti siano aggiornati.

    
risposta data 08.11.2016 - 09:02
fonte
0

Supponendo che tu usi Apache come webserver, allora la biblioteca responsabile della gestione di TLS è /usr/lib/apache2/modules/mod_ssl.so , che è ancora lì e collegata alla libreria openssl installata in tutto il sistema.

Devi ricompilare anche mod_ssl o, preferibilmente, aggiornare i tuoi pacchetti openssl che dovrebbero avere la correzione di sicurezza (come @Aria ha già indicato nel suo commento)

    
risposta data 08.11.2016 - 09:00
fonte

Leggi altre domande sui tag