US: +1 561 2500001/EU: +359 2 4925555 LiveChat
[email protected] Sign Up Login
ITLDC
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]

Уязвимость в OpenSSL "Heartbleed"

Уязвимость в OpenSSL «Heartbleed»

Апр 9, 2014DmitryНовости

Несколько дней назад была опубликована информация о серьезной уязвимости Heartbleed в пакете OpenSSL (CVE-2014-0160 «TLS heartbeat read overrun»), с помощью которой злоумышленник может получить доступ к различным данным, включая приватные ключи, имена пользователей и пароли, данные VPN и т.д.

Использование уязвимости Heartbleed не оставляет каких-либо следов в журнальных файлах, поэтому невозможно сказать, была ли утечка данных в том или ином случае. Отметим, что Heartbleed не является эксплойтом и не может быть использована для прямого получения несанкционированного доступа к уязвимому серверу. Однако велика вероятность, что данные, которые получены злоумышленником с помощью Heartbleed, могут быть использованы для последующей атаки на уязвимую систему.

Отметим, что уязвимость присутствует в ограниченном диапазоне версий OpenSSL — с 1.0.1 до 1.0.2-beta1. Эти версии OpenSSL относительно современные и поставляются по-умочанию в следующих версия популярных операционных систем:

  • Debian 7.x Wheezy (stable)
  • Ubuntu 12.04.4 LTS
  • CentOS 6.x
  • Fedora 18
  • OpenBSD 5.3
  • FreeBSD 10.0
  • NetBSD 5.0.2
  • OpenSUSE 12.2

Более ранние версии ОС (например — Centos 5.x или FreeBSD 8.x) содержат ранние версии OpenSSL, в которых нет уязвимости Heartbleed. Версию OpenSSL можно проверить командой openssl version:

1
2
3
4
5
6
# "Старая" версия, нет уязвимости:
server1# openssl version
OpenSSL 0.9.8o 01 Jun 2010
# Уязвимая версия, требуется обновление:
server2# openssl version
OpenSSL 1.0.1e-15 11 Feb 2013

Обновление OpenSSL можно произвести с помощью стандартного пакетного менеджера. Для Centos и других RHEL-систем выполните команду:

1
yum update

Для Debian/Ubuntu:

1
apt-get update && apt-get upgrade

Для Arch:

1
pacman -Syu

По окончанию обновления системы желательно перезагрузить сервер. Если перезагрузка по каким-то причинам невозможна, остановите и заново запустите все сервисы, которые работают с SSL: Apache, NGINX, почтовые службы, VPN и так далее.

После этого крайне рекомендуется заказать перевыпуск SSL-сертификатов, которые используются на ваших вэбсайтах. Уточните процедуру отзыва старых ключей и выпуска нового сертификата у соответствующей компании. Эта процедура обычно не требует дополнительной оплаты.

С точки зрения безопасности, рекомендуем сменить используемые пароли. Напомним очевидные рекомендации:

  • Начните использовать менеджер паролей. Есть коммерческие продукты (1Password, LastPass Premium), есть и бесплатные/open source (KeePass).
  • Для SSH настройте доступ по ключам, полезным будет перейти на двухфакторную аутентификацию.
  • Не используйте один и тот же пароль на двух и более сайтах! Генерируйте для каждого ресурса собственный с помощью менеджера паролей.
  • Регулярно обновляйте операционную систему и установленные пакеты.
  • Будьте в курсе последних сообщений в IT-безопасности, подпишитесь на соответствующие списки рассылок или других источники информации.

Небольшое обновление (10 апреля 2014 года): в одном из списков рассылки предложено решение для протоколирования и блокирования Heartbeat-запросов к HTTPS (порт 443) с помощью iptables. Сделать это можно с помощью следующих правил:

1
2
3
4
5
6
7
# Log rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 \
"52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"
 
# Block rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 \
"52=0x18030000:0x1803FFFF" -j DROP

Указанные правила для iptables можно использовать в качестве временной меры, обновление OpenSSL нужно сделать обязательно.

Tags: security
Related Posts
  • Серьезная уязвимость в устройствах Mikrotik

  • CVE-2019-0708: Критическая уязвимость RDP в Windows

  • Критическое обновление Vesta и новые уязвимости

  • Новая уязвимость в Vesta?

← Google Authentificator: защищаем SSH
Мы ищем авторов (и платим за ваши статьи)! →

Recent Posts

  • Support for our friends and colleagues in Ukraine
    Support for our friends and colleagues in Ukraine

    Dear friends and colleagues from Ukraine...

  • Новый датацентр — UA2.IEV: Kyiv, Ukraine!
    Новый датацентр — UA2.IEV: Kyiv, Ukraine!

    Мы продолжаем увеличивать количество наш...

  • CyberMonday — продолжаем марафон скидок!
    CyberMonday — продолжаем марафон скидок!

    Черная Пятница прошла, но не будем остан...

  • Black Friday 2021 — скидки до 50% на все SSD VDS!
    Black Friday 2021 — скидки до 50% на все SSD VDS!

    Черная Пятница официально началась! На п...

  • Sysadmin’s Day 2021 — скидки до 50% на заказ и продление SSD VDS!
    Sysadmin’s Day 2021 — скидки до 50% на заказ и продление SSD VDS!

    Давненько мы не раздавали скидки - поста...

  • Черная Пятница от ITLDC началась:  скидки до 70%!
    Черная Пятница от ITLDC началась: скидки до 70%!

    Несмотря на то, что традиционная Черная...

  • Представляем HD VDS — облачные VDS для хранения данных
    Представляем HD VDS — облачные VDS для хранения данных

    Мы подготовили специальную линейку вирту...

  • Секретная распродажа SSD VDS и серверов!
    Секретная распродажа SSD VDS и серверов!

    Скучаете по распродажам? Не обязательно...

EU Support

ITLDC EU Team

PO Box #201
Burgas
Burgas reg. 8000
Bulgaria

+1 561 2500001

[email protected]

US/APAC Support

ITLDC NOAM Team

PO Box 800054
Aventura
FL, 33280
USA

+1 561 2500001

[email protected]

Services

  • SSD VDS
  • Dedicated Servers
  • Shared Hosting
  • Colocation
  • DDoS Protection
  • SSL Certificates
  • Backup Storage
  • Reselling

Support

  • Get Help
  • ITLDC Status
  • Looking Glass
  • Our SLA
  • Datacenters
  • FAQ & Knowledgebase
  • Data Security
  • Contact us

© Copyright 1995-2019 ITLDC Team. You can freely use or share information from this site with a hyperlink to the original page.