Este servidor es vulnerable a la vulnerabilidad de Oracle OpenSSL Padding Oracle (CVE-2016-2107) e inseguro. Grado establecido en F

1

Estoy verificando mi nombre de dominio con SSL LABS y obtuve el Grado F

y recibí este mensaje

This server is vulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107) and insecure. Grade set to F.

Estoy usando Ubuntu e implementé los siguientes pasos: -

**sudo apt-get update && sudo apt-get upgrade**

y siguiendo los pasos

  1. sudo apt-get install make (Instalar compilar la biblioteca Make)
  2. wget enlace
  3. tar -xzvf openssl-1.0.2g.tar.gz
  4. cd openssl-1.0.2g
  5. sudo ./config
  6. sudo make install
  7. sudo ln -sf / usr / local / ssl / bin / openssl which openssl

después de esto ejecuto este comando openssl version -v y obtuve el resultado OpenSSL 1.0.2g 1 Mar 2016

¿Alguna idea de por qué me sale este ** problema de vulnerabilidad de relleno de Oracle OpenSSL (CVE-2016-2107) ? ** Mi versión de Ubuntu es

Distributor ID: Ubuntu
Description:    Ubuntu 14.04.5 LTS
Release:        14.04

Gracias de antemano.

    
pregunta Ankita Kashyap 08.11.2016 - 07:11
fuente

2 respuestas

3

Está obteniendo ese resultado porque está utilizando una versión vulnerable de OpenSSL ... si marca las Vulnerabilidades de OpenSSL página (busque en la página 2107 para encontrar este CVE), verá que no está arreglado hasta que OpenSSL 1.0.2 h . 1.0.2g es vulnerable. ¿Por qué elegirías wget 1.0.2g, de todos modos? La versión actual de la rama 1.0.2 es 1.0.2 j , que se lanzó a fines de septiembre.

Si pregunta por qué el repositorio de Ubuntu 14.04 tiene una versión de OpenSSL peligrosamente desactualizada, solo puedo ofrecer dos respuestas:

  1. Estás usando Ubuntu, lo que, según mi experiencia, no es muy bueno con el software de backporting a versiones anteriores (sí, incluso las versiones LTS). Una vez que cruzan la línea de 24 meses, te dejan caer como una roca caliente.
  2. Su versión de Ubuntu tiene 2.5 años, y debería haberse movido a 16.04 (o 16.10).

OpenSSL 1.0.2h salió dos meses después de 1.0.2g, y en ese tiempo salió de la ventana de soporte de dos años para la compilación de Ubuntu 14.04, por lo que dejaron de preocuparse por ello. Ubuntu 16.04 o 16.10 debería estar bien, o cualquier distribución que respalde las correcciones de seguridad durante más de dos años (lo que, ciertamente, no muchos).

Para actualizar, use el comando sudo do-release-upgrade (consulte esta página para obtener más información) desde la línea de comando. Las compilaciones LTS (Soporte a largo plazo) solo se actualizarán a las nuevas compilaciones LTS. La actualización en sí tomará un tiempo, pero después ejecutará Ubuntu 16.04 y tendrá acceso a sus repositorios. Esto le permitirá mantener su software actualizado, al menos hasta que el período de soporte para esa versión termine en otros 17 meses.

Después de la actualización, deberías ejecutar sudo apt-get update && sudo apt-get upgrade nuevamente, para asegurarte de que todos tus paquetes estén actualizados.

    
respondido por el CBHacking 08.11.2016 - 09:02
fuente
0

Suponiendo que utiliza Apache como servidor web, la biblioteca que responde para realizar el manejo de TLS es /usr/lib/apache2/modules/mod_ssl.so , que todavía está allí y está vinculada a la biblioteca openssl instalada en todo el sistema.

También tienes que recompilar mod_ssl o, preferiblemente, solo actualiza los paquetes de openssl que deberían tener la solución de seguridad (como @Aria ha señalado en su comentario)

    
respondido por el mat 08.11.2016 - 09:00
fuente

Lea otras preguntas en las etiquetas