Grave falha de segurança no OpenSSL

[rubensk]

http://heartbleed.com/

https://github.com/titanous/heartbleeder

https://gist.github.com/takeshixx/10107280

https://github.com/musalbas/heartbleed-masstest/blob/master/ssltest.py
http://filippo.io/Heartbleed/ 
http://possible.lv/tools/hb/
https://github.com/tdussa/heartbleed-masstest <--- Tobias Dussa, also Takes a CSV file with host names for input and ports as parameter
http://s3.jspenguin.org/ssltest.py
 

E dá lhe upgrade na Internet toda, e dá lhe revogação de certificados... 

 

 

[Visitante]

-- Atualização

 

O teste também pode ser feito através da Qualys. 

 

https://www.ssllabs.com/ssltest/

[Visitante]

Ao atualizar via yum, recebi a mensagem de um novo certificado da EPEL (0608b895), mas pelo site ele está no ar desde 2010... alguém mais recebeu a mensagem também?

[chuvadenovembro]

Ao atualizar via yum, recebi a mensagem de um novo certificado da EPEL (0608b895), mas pelo site ele está no ar desde 2010... alguém mais recebeu a mensagem também?

Atualizei duas vezes vários servidores ontem e não recebi essa msg de atualizar o epel.

[rubensk]

Dentro da lista de servidores ainda vulneráveis tem a da F2B, que é meio de pagamento. Mega #fail. 

 

https://zmap.io/heartbleed/

[Visitante]

Para quem tem servidor cPanel (com CentOS 6.5), os procedimentos para atualizar:

 

yum update openssl -y

 

Agora, verifique qual a versão está instalada:

 

rpm -qa | grep openssl

 

Caso for a versão openssl-1.0.1e-16.el6_5.7.x86_64, está ok e você pode prosseguir:

 

service httpd stop
service httpd start
service cpanel stop
service cpanel start
service pure-ftpd stop
service pure-ftpd start
service exim stop
service exim start
service postgresql stop
service postgresql start
service dovecot stop
service dovecot start

 

E então verifique se ainda há serviços rodando a versão antiga:

 

lsof -n | grep ssl | grep DEL

 

Se a saída for limpa, está ok.

[matt]

Tenho 8 certificados SSL com a  GlobeSSL e eles me informaram o seguinte abaixo:

 

------------------------------

If you need to reissue the certificates, send us here the new CSR and we will reissue it for free.

------------------------------

 

Isso será necessário para que eu deixe meus servidores mais seguros?

[rubensk]

Tenho 8 certificados SSL com a  GlobeSSL e eles me informaram o seguinte abaixo:

 

------------------------------

If you need to reissue the certificates, send us here the new CSR and we will reissue it for free.

------------------------------

 

Isso será necessário para que eu deixe meus servidores mais seguros?

 

Sim, é necessário. Mas precisa trocar a chave privada, não é só reemitir CSR com a mesma chave de antes... 

[matt]

Para quem tem servidor cPanel (com CentOS 6.5), os procedimentos para atualizar:

 

yum update openssl -y

 

Agora, verifique qual a versão está instalada:

 

rpm -qa | grep openssl

 

Caso for a versão openssl-1.0.1e-16.el6_5.7.x86_64, está ok e você pode prosseguir:

 

service httpd stop

service httpd start

service cpanel stop

service cpanel start

service pure-ftpd stop

service pure-ftpd start

service exim stop

service exim start

service postgresql stop

service postgresql start

service dovecot stop

service dovecot start

 

E então verifique se ainda há serviços rodando a versão antiga:

 

lsof -n | grep ssl | grep DEL

 

Se a saída for limpa, está ok.

 

Não entendi como posso saber se estou rodando o openssl antigo ou o novo.

Pode me informar?

 

Fiz isso e não apareceu uma lista limpa:

# lsof -n | grep ssl | grep DEL

/lib64/libssl.so.1.0.1elo 19039     root  DEL       REG                9,2             50074209 /usr

[rubensk]

Não entendi como posso saber se estou rodando o openssl antigo ou o novo.

Pode me informar?

 

Fiz isso e não apareceu uma lista limpa:

# lsof -n | grep ssl | grep DEL

/lib64/libssl.so.1.0.1elo 19039     root  DEL       REG                9,2             50074209 /usr

 

Ainda está rodando o antigo.