FREAK: vulnerabilidade do OpenSSL (CVE-2015-0204)

Em Janeiro de 2015, a Red Hat Product Security se referiu à vulnerabilidade de CVE-2015-0204 no OpenSSL com este aviso: RHSA-2015-0066 e RHSA-2015-0800. A vulnerabilidade foi classificada como tendo um impacto Moderado. Esta vulnerabilidade está agora sendo referida como FREAK na mídia.

Informações de Fundo

Os clientes do OpenSSL aceitaram as chaves da classe EXPORTAÇÂO (inseguro) até mesmo quando o cliente não tinha pedido por elas inicialmente. Isto poderia ser explorado utilizando um ataque de um intermediário, o que teria interceptado a requisição inicial do cliente para uma chave padrão e pedido ao servidor por uma chave classe EXPORTAÇÃO. O cliente teria então aceitado a chave fraca, permitindo que o atacante tenha descrito e decriptado a comunicação entre o cliente e servidor.

Impacto

Apesar do uso de cifras da classe EXPORTAÇÃO está desabilitado por padrão no OpenSSL enviado com as últimas versões do Red Hat Enterprise Linux (5.11, 6.6 e 7.1), ele pode ser ativado por aplicativos que utilizem a biblioteca OpenSSL. Por esta razão, a vulnerabilidade pode afetar todos os sistemas Red Hat Enterprise Linux 5, 6 e 7, incluindo o Server, Workstation, Desktop e as variantes do nó HPC, que não tenham instalado a versão fixa de pacotes OpenSSL. A versão do openssl097a distribuída com o Red Hat Enterprise Linux 5 também é afetada. Como o Red Hat Enterprise Linux 5 está agora na fase [Produção 3] (https://access.redhat.com/support/policy/updates/errata/#Production_3_Phase) do ciclo de vida de suporte e manutenção, durante o qual são fornecidos apenas os avisos de segurança crítica , esta questão no momento não foi planejada para ser abordada em futuras atualizações.

Resolução

Para eliminar a possibilidade de exploração dos clientes OpenSSL, instale os pacotes atualizados do OpenSSL que foram feitos por este aviso: RHSA-2015-0066 e RHSA-2015-0800. Para instalar as atualizações, use o gerenciador de pacotes yum da seguinte forma:
yum update
Para atualizar somente o pacote OpenSSL e suas dependências, use:
yum update openssl
Nota: Para assegurar que os clientes não reparados conectados com o servidor OpenSSL não podem ser explorados com este defeito, recomendamos desabilitar as cifras EXPORT-grade no servidor como descrito na seção de Mitigação abaixo. Nota: Reinicializar o sistema após atualizar é a maneira mais segura de garantir que todos os serviços afetados usem a biblioteca ssl atualizada. Veja também logo após a sub-seção abaixo, caso você deseje evitar a reinicialização.
Processos Reiniciando para Mudanças para Tomar Efeito
Como mencionado acima, o curso mais simples e mais rápido de ação é realizar uma reinicialização completa de sistema. Como forma alternativa, para reiniciar serviços afetados, veja os exemplos a seguir de passos:
Como determinar quais processos precisam ser reiniciados
Para listar serviços afetados, grep para DEL executando o comando lsof como se segue:
# lsof | grep DEL | grep -e crypto -e libssl

sshd      7708      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- sshd service
certmonge 7940      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- certmonger service
Xorg      7986      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- Xwindows service
sshd      8990      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- used by ssh login with bash shell
master    7796      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
qmgr      7809   postfix  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
tuned     7866      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- tuned service
pickup    9501   postfix  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
httpd     9524      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- httpd service
httpd     9526    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9527    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9528    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9529    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9530    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9531    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9532    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9533    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9534    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9535    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
Para reiniciar serviços gerenciados por chkconfig:
# service sshd restart
# service certmonger restart
# service postfix restart
# service tuned restart
# service httpd restart
Para reiniciar o Xorg:
# init 3
# lsof | grep DEL | grep -e crypto -e libssl
# init 5
Para verificar novamente e remover a última lista, saia:
# lsof | grep ssl | grep lib | grep DEL
sshd      8990      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- used by current ssh login with bash shell
# logout

Mitigação para clientes sem reparos

Para mitigar a vulnerabilidade descrita neste artigo você também deve desabilitar as cifras EXPORT-grade em seu cliente ou servidor. Esta ação no servidor é recomendada, principalmente quando você não pode garantir que todos os clientes conectados ao seu servidor foram reparados.
Disabilitando as cifras do EXPORT no httpd
Para cancelar a permissão do uso das cifras da classe de EXPORT através do servidor da web 'httpd' , adicione a diretiva !EXP à linha SSLCipherSuite no arquivo de configuração /etc/httpd/conf.d/ssl.conf. Por exemplo:
SSLCipherSuite HIGH:!aNULL:!MD5:!EXP
Após modificar o ssl.conf, você precisa reiniciar o serviço httpd.
# service httpd restart

Informações adicionais

Red Hat Security Blog on CVE-2015-0204

Was this helpful?

We appreciate your feedback. Leave a comment if you would like to provide more detail.
It looks like we have some work to do. Leave a comment to let us know how we could improve.
Close

Welcome! Check out the Getting Started with Red Hat page for quick tours and guides for common tasks.