Perché questa versione di OpenSSL (1.0.1e) non è vulnerabile a Heartbleed?

2

Recentemente ho riscontrato un requisito che richiedeva la creazione di un server Web con SSL, per dimostrare che è possibile estrarre la chiave privata da un server con una versione vulnerabile di OpenSSL ( Heartbleed ). Quindi, ho scaricato una versione di Debian che conoscevo fornita con la versione vulnerabile di OpenSSL da qui .

Tuttavia, dopo averlo configurato, non stava perdendo nulla (come riportato da Metasploit).

Di seguito è riportato l'output di openssl version -a :

OpenSSL 1.0.1e 11 Feb 2013
built on: Sat Jun 13 10:26:40 UTC 2015
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Da quello che so, le versioni tra 1.0.1 fino a 1.0.1f sono vulnerabili. Vedo che è stato costruito in un secondo momento. Le mie domande sono:

  1. Quale opzione di compilazione l'ha resa sicura contro Heartbleed? Non vedo l'opzione DOPENSSL_NO_HEARTBEATS flag nell'output precedente.

  2. Dove posso trovare una versione Debian (7 o successiva) che in realtà viene fornita con la versione vulnerabile di OpenSSL necessaria per la demo di Heartbleed.

posta user1720897 29.09.2015 - 12:44
fonte

1 risposta

8

Come menzionato da @void_in, hanno effettuato il backport della patch. Controlla la tua versione del pacchetto in questo modo:

dpkg -l openssl

Da 1.0.1e-2 + deb7u5, la patch di sicurezza è stata inclusi :.

openssl (1.0.1e-2+deb7u5) wheezy-security; urgency=high

  • Non-maintainer upload by the Security Team.
  • Add CVE-2014-0160.patch patch. CVE-2014-0160: Fix TLS/DTLS hearbeat information disclosure. A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

I file relativi a 1.0.1e-2 + deb7u4 possono essere trovati qui e dovresti essere in grado di ripristinare una versione precedente di un pacchetto aggiungendo voci nel file / etc / apt / preferences.

    
risposta data 29.09.2015 - 13:36
fonte

Leggi altre domande sui tag