O que devo fazer sobre o bug do Heartbleed nos sites que corro?


9

O bug Heartbleed anunciado recentemente no OpenSSL afeta muitos sites (70% da internet).

Existe um site:

http://www.heartbleed.com

Há um teste baseado na Web:

http://filippo.io/Heartbleed/

O que devo fazer para proteger os sites que corro?



5
... bem como o StackExchange para profissionais de segurança. Consulte security.stackexchange.com/questions/55076 e security.stackexchange.com/questions/tagged/heartbleed .
JdeBP

4
Cada SE computador local relacionado principal agora tem esta pergunta ... Provavelmente em breve ele será solicitado até mesmo em cooking.stackexchange.com : D
VL-80

Adicionei uma versão desta pergunta ao usuário final em superuser.com/questions/739260/… (mas alguém já fez o voto negativo, sem explicação).
Danorton

11
@Nikolay, agora eu estou tão tentado a perguntar-lo em cooking.se ...
Joe

Respostas:


7

Você deve:

  • Atualize seu sistema para a versão mais recente do OpenSSL
  • Gere novas chaves e certificados para serviços baseados no OpenSSL e reinicie-os
  • Revogar certificados anteriores
  • Invalidar todas as sessões estabelecidas

Suponho que você não saiba algumas instruções claras e claras para os três últimos passos, não é?
Paul D. Waite

A revogação e a regeneração de certificados de produção geralmente envolvem qualquer processo que sua CA tenha implementado. Desde que varia de um CA para a próxima ...
Roger Lipscombe

Como atualizar seu sistema depende do seu gerenciador de pacotes. A invalidação de sessões depende da aplicação. Quanto aos certificados, você vai ter de contactar o CA, mas o primeiro passo deve ser o de gerar uma nova chave e CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
Executifs

4

Roubado de um comentário no reddit.

  1. Atualize seu sistema:

    sudo apt-get update
    sudo apt-get upgrade
    
  2. Reinicialize o servidor

  3. openssl version -a para garantir que você tenha a versão mais recente !!


O OP entrega!
Eu sou John Galt

11
@IamJohnGalt Não é como se fosse um cofre trancado ou algo assim. ;)
Ƭᴇcʜιᴇ007

14
Isto não é suficiente. As chaves SSL precisam ser substituídas, sem isso um patch ainda o deixará vulnerável ao roubo de chaves no passado.
Kyeotic

Isso pressupõe que seu sistema use apt-getcomo seu gerenciador de pacotes. A questão não sugere que este seja necessariamente o caso.
Michael

0

Mais especificamente para Ubuntu ou Debian em geral

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Ref http://www.ubuntu.com/usn/usn-2165-1/

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.