FREAK: Vulnerabilità OpenSSL (CVE-2015-0204)

Nel gennaio 2015 Red Hat Product Security ha risolto la vulnerabilità CVE-2015-0204 presente in OpenSSL con la seguente advisory: RHSA-2015-0066 e RHSA-2015-0800. Il suo impatto è stato classificato come moderato Moderate. Questo tipo di vulnerabilità viene ora identificata con il nome FREAK.

Informazioni aggiuntive

I client OpenSSL accettavano le chiavi (non sicure) EXPORT-grade anche quando il client inizialmente non le richiedeva. Tale comportamento poteva essere vulnerabile agli attacchi di tipo man-in-the-middle, attraverso i quali la richiesta iniziale del client per una chiave standard, con la successiva richiesta al server di una chiave EXPORT-grade, poteva essere intercettata. Successivamente, il client poteva accettare una chiave debole permettendo ad un utente malizioso di decifrare le comunicazioni tra il client e il server.

Impatto

Per impostazione predefinita i cifrari EXPORT sono disabilitati in OpenSSL sulle ultimissime versioni di Red Hat Enterprise Linux (5.11, 6.6 e 7.1), è possibile abilitarli tramite le applicazioni che utilizzano la libreria OpenSSL. Per questo motivo la vulnerabilità può interessare tutti i sistemi Red Hat Enterprise Linux 5, 6 e 7, incluso Server, Workstation, Desktop e le varianti di HPC Node che non presentano una versione fissa dei pacchetti OpenSSL.

Anche la versione openssl097a, disponibile in Red Hat Enterprise Linux 5, è interessata da questo tipo di vulnerabilità. Poichè Red Hat Enterprise Linux 5 è in fase di Produzione 3 Production 3 del processo di manutenzione e supporto del ciclo di vita, durante il quale sono disponibili solo advisory di sicurezza critici, questo tipo di vulnerabilità non verrà, per ora, risolta con aggiornamenti futuri.

Soluzione

Per eliminare questo tipo di vulnerabilità dai client OpenSSL, installare il pacchetto OpenSSL aggiornato disponibile tramite questa advisory: RHSA-2015-0066 e RHSA-2015-0800.

Per installare gli aggiornamenti usare il gestore dei pacchetti yumnel modo seguente:

yum update

Per aggiornare solo il pacchetto OpenSSL e le relative dipendenze, usare:

yum update openssl

Nota: Per eliminare il rischio posto da questo tipo di attacco su client non aggiornati e in collegamento ad un server OpenSSL, è consigliato disabilitare i cifrari EXPORT sul server come descritto nella sezione Come attenuare i rischi.

Nota: Il riavvio del sistema dopo aver eseguito l'aggiornamento è il metodo più sicuro per l'uso di una libreria ssl aggiornata da parte di tutti i servizi. Consultare la sezione di seguito riportata se desideri non eseguire il riavvio.

Riavvio dei processi per implementare le modifiche

Come precedentemente riportato, l'azione più semplice e sicura è quella di riaviare l'intero sistema. Alternativamente, riavviare i servizi interessati, per fare questo consultare i seguenti esempi:

Come determinare quale processo da riavviare

Per elencare i servizi interessati usare grep per DEL nel comandolsof` nel modo seguente:

# lsof | grep DEL | grep -e crypto -e libssl

sshd      7708      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- sshd service
certmonge 7940      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- certmonger service
Xorg      7986      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- Xwindows service
sshd      8990      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- usato da ssh login con bash shell
master    7796      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
qmgr      7809   postfix  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
tuned     7866      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- tuned service
pickup    9501   postfix  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
httpd     9524      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- httpd service
httpd     9526    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9527    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9528    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9529    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9530    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9531    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9532    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9533    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9534    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9535    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e

Per riavviare i servizi gestiti da chkconfig:

# service sshd restart
# service certmonger restart
# service postfix restart
# service tuned restart
# service httpd restart

Per riavviare Xorg:

# init 3
# lsof | grep DEL | grep -e crypto -e libssl
# init 5

Successivamene controllare e rimuovere l'ultimo elenco, ed uscire:

# lsof | grep ssl | grep lib | grep DEL
sshd      8990      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- usato da ssh login corrente con bash shell
# logout

Come attenuare i rischi su client non aggiornati

Per attenuare i rischi dovuti al tipo di vulnerabilità descritta in questo articolo è consigliato disabilitare i cifrari EXPORT nel client o server. A tal proposito è consigliato eseguire questa operazione sul server, se tutti i client che si collegano ad esso non sono stati aggiornati con i patch rilevanti.

Come disabilitare i cifrari EXPORT in httpd

Per disabilitare l'uso dei cifrari EXPORT-grade dal web server httpd, aggiungere la direttiva !EXPsulla riga SSLCipherSuitenel file di configurazione /etc/httpd/conf.d/ssl.conf. Per esempio:

SSLCipherSuite HIGH:!aNULL:!MD5:!EXP

Dopo la modifica di ssl.conf riavviare il servizio httpd.

# service httpd restart

Informazioni aggiuntive

Red Hat Security Blog on CVE-2015-0204

Was this helpful?

We appreciate your feedback. Leave a comment if you would like to provide more detail.
It looks like we have some work to do. Leave a comment to let us know how we could improve.
Close

Welcome! Check out the Getting Started with Red Hat page for quick tours and guides for common tasks.