centos 升级 openssl - CVE-2016-0800 - 淹没攻击

centos 升级 openssl - CVE-2016-0800 - 淹没攻击

由于最近发现旧版 openssl 中存在漏洞,因此我必须升级它。

但是 Centos 存储库中没有最新版本...是否有一个可信赖的存储库可供我添加和升级?

需要最新版本的 openssl 1.0.1。我认为是1.0.1e_42.el6_7.4(适用于 CENTOS 6)如下所述:https://www.linuxos.pro/drown-attack-cve-2016-0800/

有没有安全升级的方法(我不想乱搞制作/编译东西然后手动升级它)。

我是否也必须更新 apache、postfix 等服务的配置?

答案1

CentOS 软件包是从 Red Hat Enterprise Linux 的源代码重建的。Red Hat反向移植安全修复他们的软件包,这意味着尽管版本看起来很旧,但它已打补丁以修复安全漏洞。例如,具体到您关心的 CVE,可以找到安全勘误表的链接这里。如果您点击那里的链接,您会发现 openssl-1.0.1e-42.el6_7.4 已针对 CVE-2016-0800 进行了修补。

答案2

好的,我在 drownattack.com 上查找了有漏洞的服务器。

我看到了易受攻击的端口 - POP3、IMAP、443 等。现在我通过“yum update”更新到最新的 openssl - 它已经被修补(根据https://www.linuxos.pro/drown-attack-cve-2016-0800/): “openssl-1.0.1e-42.el6_7.4”。

要在我的服务(apache 和 postfix)上禁用 sslv2 - 以防万一:

我编辑了 httpd 的配置(/etc/httpd/conf.d/ssl.conf)并取消注释行“#SSLProtocols...”并对其进行了编辑:

SSLProtocol All -SSLv2 -SSLv3

测试它(重新启动apache之后):

openssl s_client -ssl2 -connect www.example.com:443

得到:

CONNECTED(00000003)
140313005905736:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

所以它被禁用了。现在 postfix:编辑 /etc/postfix/main.cf 并在底部添加:

smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3

测试了一下(重启postfix之后,例如POP3):

openssl s_client -connect x.x.x.x:110 -starttls pop3 -ssl2

得到

CONNECTED(00000003)
140110128891720:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

并且它也已被禁用。

答案3

对于那些担心 Qualys SSLLabs 证书测试由于 DROWN 和 POODLE 而给出低于“A”的等级/评级的人来说,这些链接提供了最好的解决方法:

https://access.redhat.com/solutions/1232413

https://blog.qualys.com/ssllabs/2013/03/19/rc4-in-tls-is-broken-now-what#comment-8643

我在 EC2 实例中遇到了这个问题,在 AWS 技术人员的大力支持下,我发现你必须在每个 VirtualHost 指令以使其正常工作。

<VirtualHost *:443>
    DocumentRoot ...
    ServerName ...
    ServerAlias ...
    SSLEngine ON
    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
    SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM \
        EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 \
        EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 \
        EECDH EDH+aRSA \
        !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
    SSLHonorCipherOrder on
    SSLCertificateFile /etc/httpd/conf/ssl.crt/...
    SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/...
    SSLCACertificateFile /etc/httpd/conf/ssl.crt/...
    ErrorLog logs/...
    CustomLog logs/... combined
</VirtualHost>

每当发现新的漏洞或者您认为某些密码较弱等时,上述 SSLCipherSuite 值就应该更改。

定期测试您的 SSL 设置是一个好主意。

编辑:这是将 openssl 库升级到 1.0.1e_42.el6_7.4(适用于 CENTOS 6)的补充

相关内容