Parchear Ubuntu para evitar el bug OpenSSL Heartbleed

Ayer a la tarde se levantó una buena polvareda con el bug Heartbleed de OpenSSL. Básicamente, cualquier usuario podría acceder a una zona de 64Kb de memoria del servidor, cercana a la zona donde se gestionan las operaciones con SSLv3. Esto podría llegar a permitir acceder a información privilegiada, como por ejemplo la clave privada usada para el cifrado. Aunque hay dudas técnicas sobre este aspecto específico (acceso a las claves privadas), los investigadores que descubrieron el bug así lo afirman (como indica el primer link). Conclusión: estás tardando en actualizar OpenSSL en tu servidor 🙂

sudo apt-get update
sudo apt-get install -y libssl1.0.0 openssl
openssl version -a # y confirma que es la nueva versión ("built on" >= 2014-04-07)
sudo lsof -n | grep ssl | grep DEL  # reload de todos los servicios que usen versión vieja

Repite el último paso hasta que no queden servicios usando la versión vieja de openssl.

Gracias a coderanger por los tip.

Update (11/04/2014): como dije, hay serias dudas de que el acceso a las claves privadas sea viable. De hecho, uno de las primeras webs donde se expuso el bug lanza ahora un reto: han puesto un servidor HTTPS vulnerable en marcha y retan a la comunidad a extraer la clave privada usando el bug Heartbleed.

Update (13/04/2014): pues han tardado unas pocas horas en extraer la clave privada. Vaya, vaya…

5 comentarios en «Parchear Ubuntu para evitar el bug OpenSSL Heartbleed»

  1. Parece que no existe fix alguno para Ubuntu 13.04, hasta en los foros de Ubuntu te dicen que «ya no hay soporte, ni siquiera deberias estar usando eso, tema cerrado». Sin embargo si existe soporte para Ubuntu 12.10, que no era LTS. Y vale, si, entiendo parcialmente su postura, pero aun asi no son formas. No estamos hablando de alguien pidiendo una nueva version de SDL porque la actual le pinte las cosas en tonos verdes.

    En mi caso yo uso Linux Mint 15, y no metí la 16 por un motivo bastante concreto: estoy esperando a la proxima LTS. En este caso eso implica tirarme dos meses y medio mas con un OpenSSL roto con todas las soluciones siendo un «aaah, se siente».

    Compilar desde el src parece peligroso, porque implica sustituir paquetes que requieren demasiados programas.

    Usar un .deb hecho para 12.04, 12.10 o 13.10? no se si intentarlo, pa otros bugcillos o libs que ya no se actualizaban en otras releases me ha servido, pero claro… no eran componentes tan criticos como openSSL.

    En fin, no se, alguna solución que no sea instalar una nueva distro? porque si, es algo que quiero hacer, pero me parece tonteria y una gran molestia instalar mint 16/ubuntu 13.10 para dentro de 4 dias meter mint 17/14.04.

Responder a Fran Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.