Recentemente ho riscontrato un requisito che richiedeva la creazione di un server Web con SSL, per dimostrare che è possibile estrarre la chiave privata da un server con una versione vulnerabile di OpenSSL ( Heartbleed ). Quindi, ho scaricato una versione di Debian che conoscevo fornita con la versione vulnerabile di OpenSSL da qui .
Tuttavia, dopo averlo configurato, non stava perdendo nulla (come riportato da Metasploit).
Di seguito è riportato l'output di openssl version -a
:
OpenSSL 1.0.1e 11 Feb 2013
built on: Sat Jun 13 10:26:40 UTC 2015
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
Da quello che so, le versioni tra 1.0.1 fino a 1.0.1f sono vulnerabili. Vedo che è stato costruito in un secondo momento. Le mie domande sono:
-
Quale opzione di compilazione l'ha resa sicura contro Heartbleed? Non vedo l'opzione
DOPENSSL_NO_HEARTBEATS flag
nell'output precedente. -
Dove posso trovare una versione Debian (7 o successiva) che in realtà viene fornita con la versione vulnerabile di OpenSSL necessaria per la demo di Heartbleed.