Ayer a la tarde se levantó una buena polvareda con el bug Heartbleed de OpenSSL. Básicamente, cualquier usuario podría acceder a una zona de 64Kb de memoria del servidor, cercana a la zona donde se gestionan las operaciones con SSLv3. Esto podría llegar a permitir acceder a información privilegiada, como por ejemplo la clave privada usada para el cifrado. Aunque hay dudas técnicas sobre este aspecto específico (acceso a las claves privadas), los investigadores que descubrieron el bug así lo afirman (como indica el primer link). Conclusión: estás tardando en actualizar OpenSSL en tu servidor 🙂
sudo apt-get update sudo apt-get install -y libssl1.0.0 openssl openssl version -a # y confirma que es la nueva versión ("built on" >= 2014-04-07) sudo lsof -n | grep ssl | grep DEL # reload de todos los servicios que usen versión vieja |
Repite el último paso hasta que no queden servicios usando la versión vieja de openssl.
Gracias a coderanger por los tip.
Update (11/04/2014): como dije, hay serias dudas de que el acceso a las claves privadas sea viable. De hecho, uno de las primeras webs donde se expuso el bug lanza ahora un reto: han puesto un servidor HTTPS vulnerable en marcha y retan a la comunidad a extraer la clave privada usando el bug Heartbleed.
Update (13/04/2014): pues han tardado unas pocas horas en extraer la clave privada. Vaya, vaya…
La clave privada no se, pero el «submarino amarillo» si que lo saca en un servidor vulnerable…
http://filippo.io/Heartbleed
Parece que no existe fix alguno para Ubuntu 13.04, hasta en los foros de Ubuntu te dicen que «ya no hay soporte, ni siquiera deberias estar usando eso, tema cerrado». Sin embargo si existe soporte para Ubuntu 12.10, que no era LTS. Y vale, si, entiendo parcialmente su postura, pero aun asi no son formas. No estamos hablando de alguien pidiendo una nueva version de SDL porque la actual le pinte las cosas en tonos verdes.
En mi caso yo uso Linux Mint 15, y no metí la 16 por un motivo bastante concreto: estoy esperando a la proxima LTS. En este caso eso implica tirarme dos meses y medio mas con un OpenSSL roto con todas las soluciones siendo un «aaah, se siente».
Compilar desde el src parece peligroso, porque implica sustituir paquetes que requieren demasiados programas.
Usar un .deb hecho para 12.04, 12.10 o 13.10? no se si intentarlo, pa otros bugcillos o libs que ya no se actualizaban en otras releases me ha servido, pero claro… no eran componentes tan criticos como openSSL.
En fin, no se, alguna solución que no sea instalar una nueva distro? porque si, es algo que quiero hacer, pero me parece tonteria y una gran molestia instalar mint 16/ubuntu 13.10 para dentro de 4 dias meter mint 17/14.04.
gracias por el post!!! muy útil.