Hace poco me encontré con un requisito que necesitaba un servidor web configurado con SSL, para demostrar que es posible extraer la clave privada de un servidor con una versión vulnerable de OpenSSL ( Heartbleed ). Por lo tanto, descargué una versión de Debian que sabía que incluía la versión vulnerable de OpenSSL de aquí .
Sin embargo, después de configurarlo, no se filtró nada (según lo informado por Metasploit).
A continuación se muestra el resultado de openssl version -a :
OpenSSL 1.0.1e 11 Feb 2013
built on: Sat Jun 13 10:26:40 UTC 2015
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
Por lo que sé, las versiones entre 1.0.1 y 1.0.1f son vulnerables. Puedo ver que fue construido en una fecha posterior. Mis preguntas son:
-
¿Qué opción de compilación la hizo segura contra Heartbleed? No veo la opción
DOPENSSL_NO_HEARTBEATS flagen la salida anterior. -
¿Dónde puedo obtener una versión de Debian (7 o posterior) que se envíe con la versión vulnerable de OpenSSL necesaria para la demostración de Heartbleed?