Warum behebt Unbeaufsichtigt-Upgrades keinen Heartbleed-Fehler?

Ich habe die Anweisung zur Installation von unbeaufsichtigten Upgrades befolgt, um automatische Sicherheitsupdates auf meinem Server (Ubuntu Server 13.10) zu installieren.

https://help.ubuntu.com/community/AutomaticSecurityUpdates

Können Sie mir helfen, zu verstehen, warum ich heute Morgen immer noch den Heartbleed-Bug auf meinem Server habe?

$ openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Wed Jan  8 20:58:47 UTC 2014
platform: debian-amd64

andere Informationen:

$ cat /etc/apt/apt.conf.d/20auto-upgrades
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

$ cat /var/log/apt/history.log
....
Start-Date: 2014-04-03  15:33:59
Commandline: apt-get install nginx
Install: libxau6:amd64 (1.0.8-1, automatic), libx11-data:amd64 (1.6.1-1ubuntu1, automatic), libxcb1:amd64 (1.9.1-3ubuntu1, automatic), libvpx1:amd64 (1.2.0-2, automatic), libgd3:amd64 (2.1.0-2, automatic), libxdmcp6:amd64 (1.1.1-1, automatic), libxslt1.1:amd64 (1.1.28-2, automatic), nginx-common:amd64 (1.4.1-3ubuntu1.3, automatic), nginx:amd64 (1.4.1-3ubuntu1.3), nginx-full:amd64 (1.4.1-3ubuntu1.3, automatic), libx11-6:amd64 (1.6.1-1ubuntu1, automatic), libxpm4:amd64 (3.5.10-1, automatic)
End-Date: 2014-04-03  15:34:02

Start-Date: 2014-04-04  10:26:38
Commandline: apt-get install unattended-upgrades
Install: unattended-upgrades:amd64 (0.79.3ubuntu8)
End-Date: 2014-04-04  10:26:40

Vielen Dank

Sie haben die Heartbleed-Sicherheitsanfälligkeit nicht auf Ihrem Server. OpenSSL wurde gepatcht, um dieses Problem zu beheben (ohne es zu aktualisieren).

Sie haben einige wichtige Zeilen in der OpenSSL-Versionsausgabe ausgelassen. So wissen Sie, dass sie gepatcht wurden und nicht mit der Versionsnummer:

openssl version -a                                                                ✭
OpenSSL 1.0.1e 11 Feb 2013
built on: Mon Apr  7 20:33:19 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Hier kommt es darauf an, ob Sie am 7. April oder danach arbeiten: Sie sind gut. Ansonsten: Sie stecken in Schwierigkeiten.

Update, da das Erstellungsdatum nicht gut zu sein scheint:

Möglicherweise wurde das unbeaufsichtigte Upgrade noch nicht ausgeführt. Auf meinem Server sind die Skripts in cron.daily so konfiguriert, dass sie um 6:25 Uhr ausgeführt werden

25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Überprüfen Sie auch den Inhalt von /etc/apt/apt.conf.d/10periodic und stellen Sie sicher, dass Sicherheitsupdates installiert sind:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::AutocleanInterval "7";
APT::Periodic::Unattended-Upgrade "1";

Quelle: https://help.ubuntu.com/lts/serverguide/automatic-updates.html

Zunächst müssen Sie das Upgrade durchführen. Unbeaufsichtigte Upgrades werden nur einmal am Tag ausgeführt. Seit der Veröffentlichung des Fixes (07.04.2014 um 20:00 Uhr GMT) ist weniger als ein Tag vergangen. libssl1.0.0Stellen Sie sicher, dass Sie ein Upgrade auf Version 1.0.1e-3ubuntu1.2 oder höher durchgeführt haben. (Genauer gesagt, das Update wurde in Version 1.0.1-4ubuntu5.12 veröffentlicht.)

Beachten Sie als Nächstes, dass dies eine sehr schlechte Sicherheitsanfälligkeit ist: Möglicherweise konnten Angreifer vertrauliche Daten durch Herstellen einer Verbindung zu Ihrem anfälligen Server abrufen. Wenn Sie einen SSL-Server verwenden, sind möglicherweise Daten verloren gegangen, die sich im Speicher des Servers befanden, kurz bevor die Sicherheitsanfälligkeit gemeldet wurde. Dies beinhaltet insbesondere den privaten SSL-Schlüssel des Servers. Sie sollten daher einen neuen generieren und den alten widerrufen.

Weitere Informationen finden Sie unter Patchen des Heartbleed-Fehlers (CVE-2014-0160) in OpenSSL.

Sie können internen Versionszeichenfolgen nicht vertrauen. Die Version sagt 1.0.1eund der Fehler betrifft von 1.0.0 bis 1.0.0f. Ist dies genug, um festzustellen, ob Sie noch eine anfällige Version von openssl haben? Nein. Die interne Version von OpenSSL ändert sich nicht, obwohl einige Updates angewendet werden. Die einzige Möglichkeit, Ihre Version zuverlässig zu identifizieren, besteht darin, die Paketmanagerversion mit einem apt-cache policyoder einem anderen Tool zu ermitteln:

➜  ~  apt-cache policy openssl
openssl:
  Installed: 1.0.1f-1
  Candidate: 1.0.1f-1
  Version table:
 *** 1.0.1f-1 0
        500 http://http.debian.net/debian/ testing/main i386 Packages
        100 /var/lib/dpkg/status
➜  ~  dpkg -l openssl
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  openssl        1.0.1f-1     i386         Secure Sockets Layer toolkit - cr
➜  ~  

Wie Sie sehen, ist meine Version von openssl überlegen und scheint betroffen zu sein, da es 1.0.1f ist. Wenn ich jetzt die Änderungsprotokolle überprüfe:

➜  ~ apt-get changelog openssl
openssl (1.0.1f-1) unstable; urgency=high

  * New upstream version
    - Fix for TLS record tampering bug CVE-2013-4353
    - Drop the snapshot patch
  * update watch file to check for upstream signature and add upstream pgp key.
  * Drop conflicts against openssh since we now on a released version again.

 -- Kurt Roeckx <kurt@roeckx.be>  Mon, 06 Jan 2014 18:50:54 +0100

Ja, ich bin immer noch betroffen. Das Changelog enthält keinerlei Verweise auf CVE-2014-0160. Ich verwende jedoch keinen SSL / TSL-Dienst, sodass ich warten kann. Ich muss mit dieser Version von OpenSSL nur keine SSL-Zertifikate generieren. Wenn ich das tue, muss ich nur Gilles Rat befolgen: Die Services ausschalten, das Zertifikat widerrufen, neue generieren.