Ενημέρωση για κενό ασφάλειας στο OpenSSL
Σας ενημερώνουμε σχετικά με ένα σημαντικό κενό ασφαλείας στην υλοποίηση της βιβλιοθήκης OpenSSL. Το σχετικό report είναι το CVE-2014-0160.
Οι ευπαθείς εκδόσεις OpenSSL:
- OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
Οι μη ευπαθείς εκδόσεις OpenSSL:
- OpenSSL 1.0.1g is NOT vulnerable
- OpenSSL 1.0.0 branch is NOT vulnerable
- OpenSSL 0.9.8 branch is NOT vulnerable
OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.
- Λειτουργικά συστήματα που είναι ευπαθή (default setup χωρίς latest upgrades)
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
- Λειτουργικά συστήματα που δεν είναι ευπαθή:
- Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
- SUSE Linux Enterprise Server
Τα σχετικά πακέτα θα πρέπει να αναβαθμιστουν και οι υπηρεσίες να γίνουν restart. Βάση όμως και της περιγραφής του report θα πρέπει να δημιουργηθούν νέα certificates και να ανακληθούν τα παλιά.
Επιπλέον θα πρέπει να προχωρήσετε και εσείς οι ίδιοι σε άμεση ενημέρωση των εγκαταστάσεων σας σε OpenSSL 1.0.1g για τα συστήματα που έχετε εκδόσει πιστοποιητικά. Σε περίπτωση που η ενημέρωση δεν είναι επιλογή, κάντε recompile το OpenSSL με επιλογή "-DOPENSSL_NO_HEARTBEATS". Επιπλέον πρέπει να προβείτε και σε έκδοση νέων πιστοποιητικών (με νέα ιδιωτικά κλειδιά και νέα certificate requests) μέσα από την υπηρεσία αφού βεβαιωθείτε ότι έχετε αναβαθμίσει το openssl, τις υπηρεσίες που βασίζονται σε αυτό και έχετε κάνει επανεκκίνηση των υπηρεσιών ώστε να μην υπάρχει πιθανότητα παραβίασης του νέου ιδιωτικού κλειδιού.
-Εργαλεία για έλεγχο: