Monitoring Serwerów - Forum o monitoringu infrastruktury IT
Heartbleed - podatność OpenSSL - Printable Version

+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: op5 Monitor i Nagios (https://monitoringserwerow.pl/forumdisplay.php?fid=12)
+--- Thread: Heartbleed - podatność OpenSSL (/showthread.php?tid=84)



Heartbleed - podatność OpenSSL - ArturB - 07-31-2019

W ostatnim czasie okazało się, że od 2(!)lat 2/3 webserverów jest podatna na podsłuch. Podatne wersje to 1.0.1 do 1.0.1f oraz 1.0.2-beta i 1.0.2-beta1. Problem ten nie dotyczy jedynie serwerów www, powinniśmy pamiętać że OpenSSL wykorzystywany jest również w innym oprogramowaniu, w tym na serwerach poczty.
Podatność naszej strony możemy sprawdzić https://lastpass.com/heartbleed/

Jeśli macie w swojej infrastrukturze już wdrożony system monitoringu taki jak op5 Monitor, można pokusić się o automatyczną weryfikację podatności za pomocą odpowiedniej metody. Taka metoda dla systemu op5 jest już gotowa. Jej parametry to przede wszystkim adres maszyny, którą chcemy weryfikować oraz opcjonalnie numer portu TCP (domyślnie jest to 443) oraz wersja TLS - 1.1 lub 1.2.
Taka metoda może przyjąć dwa stany - OK, w przypadku gdy nasza witryna nie jest podatna, albo w CRITICAL. 

Opis metody: check_heartbleed.py server [options]

Test for SSL heartbeat vulnerability (CVE-2014-0160)

Options:
-h, --help show this help message and exit
-p PORT, --port=PORT TCP port to test (default: 443)
-v VERSION, --version=VERSION
TLS version to test [v1.1(1) or v1.2(2)] (default: 1)


Przykład użycia:

# ./check_heartbleed.py yahoo.com -p 443 -v 1
OK: yahoo.com - NOT VULNERABLE
# echo $?
0
# ./check_heartbleed.py vulnerable.site.com -p 443 -v 1
CRITICAL: vulnerable.site.com - VULNERABLE
# echo $?
2


Definicja komendy:

check_heartbleed
$USER1$/check_heartbleed.py $ARG1$ -p 443 -v 1


Co zrobić jeśli okaże się że nasze serwery są podatne? Najlepiej zaktualizować OpenSSL do 1.0.1g. Jeśli jednak okaże się to niemożliwe, można spróbować zrekompilować obecnie używaną bibliotekę z flagą -DOPENSSL_NO_HEARTBEATS.
Warto również rozważyć zakup/wygenerowanie nowego certyfikatu, zmienić hasła administracyjne i usunąć tokeny autoryzacyjne.