OpenSSL, was denn jetzt, Lücke geschlossen oder nicht?!

T

tobi4

Member
Hallo,

ich habe keine Ahnung.

Ich weiß nur, dass man, wenn betroffen, ein Update von openssl machen sollte.

Auch habe ich gelesen, dass Centos 5 nicht betroffen sei.

Ich habe einen meiner Server neuinstalliert, mit Centos 6 + Plesk (bei 1und1). Allerdings wurde dieser mit einer alten Version von openssl von Anfang 2013 installiert. Warum ist das so? Ich verstehe das nicht...

Dann: yum update bzw. yum update openssl GEHT NICHT. No packages...

Nun habe ich diese Anleitung genommen: http://stackoverflow.com/a/22976413
War das richtig? Jetzt habe ich OpenSSL 1.0.1g 7 Apr 2014
Allerdings soll ja in der Zwischenzeit erneut ein Bug gefunden worden sein. ?!?!?!

Diese Seite https://filippo.io/Heartbleed/ sagt nun, es wäre ok.

ABER: Nun habe ich einen anderen Server mit Centos 6, dort ist auch diese Version von openssl von Anfang 2013, und bei Eingabe der IP auf filippo.io kommt ebenfalls, dass alles ok sei. Wer soll denn da noch durchblicken?!

Also alles in allem ziemliche Verarscherei, wenn der neu installierte Server ohne geschlossene Sicherheitslücke ausgeliefert wird und das dann noch nichtmal über yum einfach zu updaten geht.

Oder bin ich nur wieder zu blöd?

Gruß
 
Es ist keine gute Idee, bei einer Stable/Enterprise-Distribution aus der Paketverwaltung auszubrechen und Dein eigenes OpenSSL zu kompilieren.

Hättest Du in dem von Dir genannten Link einfach ein paar Zeilen weitergelesen, wäre dir auch erklärt worden wie die Backporting-Strategie von RedHat/CentOS aussieht und warum das gut so ist (http://stackoverflow.com/a/22954285).
 
So einfach wie möglich erklärt: Backporting heißt, dass man Sicherheitspatches einer neueren Version kompatibel zu einer älteren Programmversion macht (darum auch Backporting).
Anders ausgedrückt: Solange Deine Distro supported wird brauchst und sollst Du nicht rumfrickeln.
 
Okay, danke für die Erklärung. Habe mir gerade mal die englisch-sprachige Erklärung von der redhat-Seite durchgelesen... Das soll mal einer verstehen!

Dennoch wundert es mich, dass dann bei Eingabe meiner neuen Server-IP bei dieser Test-Seite die Meldung kam, dass der Bug existieren würde. Es ist heute Nachmittag Centos 6.5 installiert worden.

Erst nach dieser manuellen Installation von openssl kam die grüne Meldung, dass der openssl-Bug behoben sei.

Und das verstehe ich nicht!

Auch verstehe ich nicht, wie dann diese Updates / Backports in mein laufendes Centos gelangen. Von selbst? Ich wüsste nicht, dass sich da von selbst was außer Plesk updated.
Also müsste ich ja DOCH wieder irgendwie selbst "rumfrickeln".

Edit: Soll ich nun das Teil einfach nochmal neuinstallieren lassen, die alte openssl-Version drin lassen (Feb 2013) und die Meldung von dieser Testseite dass man da was ausspähen könnte ignorieren und hoffen, dass da irgendwie ein "Backport" kommt?

Gruß
 
Last edited by a moderator:
Das Backporting übernimmt der Maintainer des Pakets und Du kommst an das Paket per Paketmanager, in Deinem Fall also yum.
Das ist der gesamte Aufwand, den ein User hier pflegen muss.
Im Zweifel musst Du also nicht upstream nachsehen sondern bei Deiner jeweiligen Distribution.

Als verantwortungsvoller Admin hast Du ja sicherlich die Security mailinglist Deiner Distribution abonniert und schaust - selbstverständlich - auch regelmäßig selbst nach kritischen Lücken und ab welchen Distroversionen(!) diese Lücken gefixt wurden.
 
Also yum update, und alle Bugfixes sind eingespielt?

Endet aber leider immer in no packages available. Also ein anderes Repository nehmen?
 
Kam da schon immer "no packages available"? Die Lücke ist ja mittlerweile uralt und wurde - wenn - schon lange in der Vergangenheit gefixt.
 
Ich habe mich gestern nach 3 Jahren mal dazu entschlossen, das Teil mit einer Neuinstallation von Centos 5 auf 6 zu updaten und alles neu einzurichten.

Zugegeben habe ich mich in den Jahren wenig darum gekümmert, weil immer alles problemlos funktioniert hat (ich z.B. auch keine Meldung von 1und1 über Abuse meines Servers bekommen habe :D, alles immer brav online war, und ich mich nicht beschweren konnte).
Nun habe ich mir ja diesen kimsufi-root Server für ein anderes Projekt geholt und mehrere Tage damit verbracht, diesen hoffentlich halbwegs und sinnvoll abzusichern. Gerne würde ich mehr von dem ganzen Zeugs verstehen.

So, heute dann den 1und1 Server neu installiert, nun mit Centos 6.5 und Plesk 11.5, und einfach mal openssl version eingegeben. Schockiert darüber, dass da eine Version von Februar 2013 steht (ok, wenn Du sagst die haben das per Backport bereits gefixt, dann verstehe ich das). Dann habe ich die IP des Servers auf https://filippo.io/Heartbleed/ eingegeben und dort wurde mir geraten, schnellstens openssl zu updaten (das verstehe ich dann wieder nicht). Mit yum update openssl ging dies nicht, es gebe keine neuere Version.

Warum zeigt mir diese Test-Seite dann irgendwelche Hieroglyphen an, die sie angeblich aus irgendeinem Speicher des Servers gelesen hat???

Das muss mir mal jemand erklären... Woher weiß ich denn nun, ob der Bug bei mir behoben ist? Soll ich darauf vertrauen, dass da bereits von Centos der Bug in der alten openssl Version gefixt wurde, weil ich Centos 6.5 neu installiert habe oder soll ich der Seite glauben, die sagt ich solle schnellstens handeln...

Gruß
 
Wie "installiert", hast Du einfach CentOS5 geupdatet oder war das ein Image vom Hoster?
 
Ok, das ist schon mal gut zu wissen.
Ich muss allerdings zugeben, dass mir gerade nicht ganz klar ist, warum keine Updates angezeigt werden. Die Images werden ja erstellt und eigentlich gibt es zwischendurch IMMER updates, da Linuxdistributionen aus hunderten/tausenden von Paketen bestehen.

Wenn also tatsächlich überhaupt keine(!) Updates angezeigt werden, dürfte hier etwas nicht richtig konfiguriert sein.

Da warte aber bitte bis sich jemand meldet, der mit CentOS arbeitet. Ich bin Arch und Gentoo Nutzer, dort läuft das alles etwas anders (Rolling Release) und meine Kenntnisse über CentOS und RPM sind nicht sonderlich gut.
 
RedHat und CentOS backportet OpenSSL Fixes in die jeweilige OpenSSL Version der Distribution.
Ein yum info openssl zeigt nicht nur die Version, sondern auch das Release an - da kommt dann sowas wie z.B. "16.el6_5.14" raus - das wäre dann dieses Update hier von letzter Woche: https://rhn.redhat.com/errata/RHSA-2014-0625.html


Wenn irgendwelche HTTPS-Server-Checks immer noch eine Anfälligkeit melden, dann wurde vielleicht schlicht nach dem Update der Webserver noch nicht neu gestartet? Ohne Neustart kommt die neue Library ja nicht zur Anwendung.
 
Last edited by a moderator:
Danke für die Antworten. @gunnarh Aber welches Update denn? Ich ging seit eben bis jetzt davon aus, dass mit der Installation von 1und1 heute der openssl-Bug bereits geschlossen sei, zumal es auch per yum nichts zum Updaten gab.

Da ich das System ja jetzt mit der manuellen Installation verpfuscht habe, und laut des stackoverflow-Beitrages damit auch einen Fehler begangen habe, werde ich das Teil auf den ursprünglichen Zustand zurücksetzen / neuinstallieren lassen.

Dann werde ich das yum info openssl ausführen und wieder berichten.

Wird doch das sinnvollste sein, oder?

Danke & Gruß
 
Die Images der Serverhoster sind nie ganz aktuell - mich würde es also sehr wundern, wenn ein frisch ausgelieferter (v)Server gar nichts zu aktualisieren hätte. Was sein kann ist, dass der Serveranbieter ein Update nach Aufspielen des Basisimage automatisiert durchführt, dann wäre der Server wirklich aktualisiert übergeben worden - kann ich, da ich nicht 1&1-Kunde bin aber nicht beantworten.

Wie man den Patchstand prüft habe ich oben ja schon skizziert.
Wenn yum nicht richtig konfiguriert ist und deshalb keine Updatelisten lädt, dann müsste man das halt korrigieren - ist ja auch keine Hexerei.

Wenn ein laufender Webserver trotz gepatchtem OpenSSL immer noch als anfällig für Heartbleed erkannt wird, dann wurde nach dem Update vermutlich einfach der Dienst noch nicht neu gestartet.
 
Hallo,

nun ist der Server neu installiert und außer psa (Plesk) zu starten habe ich nichts gemacht.

Dies ist die Ausgabe für yum info openssl:

Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Installed Packages
Name : openssl
Arch : x86_64
Version : 1.0.1e
Release : 16.el6_5.14
Size : 4.0 M
Repo : installed
From repo : updates
Summary : A general purpose cryptography library with TLS implementation
URL : http://www.openssl.org/
License : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications
: between machines. OpenSSL includes a certificate management tool
: and shared libraries which provide various cryptographic
: algorithms and protocols.

Available Packages
Name : openssl
Arch : i686
Version : 1.0.1e
Release : 16.el6_5.14
Size : 1.5 M
Repo : updates
Summary : A general purpose cryptography library with TLS implementation
URL : http://www.openssl.org/
License : OpenSSL
Description : The OpenSSL toolkit provides support for secure communications
: between machines. OpenSSL includes a certificate management tool
: and shared libraries which provide various cryptographic
: algorithms and protocols.
Click to expand...

So, nun auch nochmal yum update eingegeben:

Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Setting up Update Process
No Packages marked for Update
Click to expand...

Nun ein Test auf https://filippo.io/Heartbleed/ :

213.165.xx.xx IS VULNERABLE. [...] Here is some data we pulled from the server memory: [...] Please take immediate action!
Click to expand...

ABER: Nach einem reboot, tatsächlich:
possible.lv: ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check. Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.
filippo.io: All good, xxx.de seems fixed or unaffected!

Super, dann kann ich ja endlich anfangen mit absichern, Plesk konfigurieren, Webseiten wieder einrichten..... Oder gibt es noch etwas zu beachten?

Schonmal vielen Dank für die ganze Hilfe.

Gruß
 
You must log in or register to reply here.
Back
Top