¿Por qué esta versión de OpenSSL (1.0.1e) no es vulnerable a Heartbleed?

Navega tus respuestas
2

Hace poco me encontré con un requisito que necesitaba un servidor web configurado con SSL, para demostrar que es posible extraer la clave privada de un servidor con una versión vulnerable de OpenSSL ( Heartbleed ). Por lo tanto, descargué una versión de Debian que sabía que incluía la versión vulnerable de OpenSSL de aquí .

Sin embargo, después de configurarlo, no se filtró nada (según lo informado por Metasploit).

A continuación se muestra el resultado de openssl version -a : 

OpenSSL 1.0.1e 11 Feb 2013
built on: Sat Jun 13 10:26:40 UTC 2015
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Por lo que sé, las versiones entre 1.0.1 y 1.0.1f son vulnerables. Puedo ver que fue construido en una fecha posterior. Mis preguntas son:

  1. ¿Qué opción de compilación la hizo segura contra Heartbleed? No veo la opción DOPENSSL_NO_HEARTBEATS flag en la salida anterior.

  2. ¿Dónde puedo obtener una versión de Debian (7 o posterior) que se envíe con la versión vulnerable de OpenSSL necesaria para la demostración de Heartbleed?

pregunta user1720897 29.09.2015 - 12:44
fuente

1 respuesta

8

Según lo mencionado por @void_in, ellos respaldaron el parche. Verifique la versión de su paquete así: 

dpkg -l openssl

Desde 1.0.1e-2 + deb7u5, el parche de seguridad ha sido incluido .:

  

openssl (1.0.1e-2 + deb7u5) wheezy-security; urgencia = alta

     
  • Subida de no mantenedor por el equipo de seguridad.
    •   
  • Añadir   CVE-2014-0160.patch parche.   CVE-2014-0160: Arreglar la divulgación de información de latido de TLS / DTLS.   Verificación de límites faltantes en el manejo de la extensión de latido de TLS   se puede usar para revelar hasta 64k de memoria a un cliente conectado o   servidor.
    •   

Los archivos relacionados con 1.0.1e-2 + deb7u4 se encuentran aquí , y deberías poder volver a una versión anterior de un paquete agregando entradas en el archivo / etc / apt / preferences.

    
respondido por el Michael 29.09.2015 - 13:36
fuente

Lea otras preguntas en las etiquetas

¿Puede Google Chrome leer / escanear mi página de bandeja de entrada de ProtonMail? ¿Es factible bloquear las conexiones que Windows 10 usa para empujar / jalar? - es decir: ¿Teléfono de casa, observadores, monitores, Onedrive, Cortana, Bing, Shadyness, etc.?