FREAK: vulnerabilidade do OpenSSL (CVE-2015-0204)
Em Janeiro de 2015, a Red Hat Product Security se referiu à vulnerabilidade de CVE-2015-0204 no OpenSSL com este aviso: RHSA-2015-0066 e RHSA-2015-0800. A vulnerabilidade foi classificada como tendo um impacto Moderado. Esta vulnerabilidade está agora sendo referida como FREAK na mídia.
Informações de Fundo
Os clientes do OpenSSL aceitaram as chaves da classe EXPORTAÇÂO (inseguro) até mesmo quando o cliente não tinha pedido por elas inicialmente. Isto poderia ser explorado utilizando um ataque de um intermediário, o que teria interceptado a requisição inicial do cliente para uma chave padrão e pedido ao servidor por uma chave classe EXPORTAÇÃO. O cliente teria então aceitado a chave fraca, permitindo que o atacante tenha descrito e decriptado a comunicação entre o cliente e servidor.
Impacto
Apesar do uso de cifras da classe EXPORTAÇÃO está desabilitado por padrão no OpenSSL enviado com as últimas versões do Red Hat Enterprise Linux (5.11, 6.6 e 7.1), ele pode ser ativado por aplicativos que utilizem a biblioteca OpenSSL. Por esta razão, a vulnerabilidade pode afetar todos os sistemas Red Hat Enterprise Linux 5, 6 e 7, incluindo o Server, Workstation, Desktop e as variantes do nó HPC, que não tenham instalado a versão fixa de pacotes OpenSSL.
A versão do openssl097a distribuída com o Red Hat Enterprise Linux 5 também é afetada. Como o Red Hat Enterprise Linux 5 está agora na fase [Produção 3] (https://access.redhat.com/support/policy/updates/errata/#Production_3_Phase) do ciclo de vida de suporte e manutenção, durante o qual são fornecidos apenas os avisos de segurança crítica , esta questão no momento não foi planejada para ser abordada em futuras atualizações.
Resolução
Para eliminar a possibilidade de exploração dos clientes OpenSSL, instale os pacotes atualizados do OpenSSL que foram feitos por este aviso: RHSA-2015-0066 e RHSA-2015-0800.
Para instalar as atualizações, use o gerenciador de pacotes yum da seguinte forma:
yum update
Para atualizar somente o pacote OpenSSL e suas dependências, use:
yum update openssl
Nota: Para assegurar que os clientes não reparados conectados com o servidor OpenSSL não podem ser explorados com este defeito, recomendamos desabilitar as cifras EXPORT-grade no servidor como descrito na seção de Mitigação abaixo.
Nota: Reinicializar o sistema após atualizar é a maneira mais segura de garantir que todos os serviços afetados usem a biblioteca ssl atualizada. Veja também logo após a sub-seção abaixo, caso você deseje evitar a reinicialização.
Processos Reiniciando para Mudanças para Tomar Efeito
Como mencionado acima, o curso mais simples e mais rápido de ação é realizar uma reinicialização completa de sistema. Como forma alternativa, para reiniciar serviços afetados, veja os exemplos a seguir de passos:
Como determinar quais processos precisam ser reiniciados
Para listar serviços afetados, grep para DEL executando o comando lsof como se segue:
# lsof | grep DEL | grep -e crypto -e libssl
sshd 7708 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- sshd service
certmonge 7940 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- certmonger service
Xorg 7986 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- Xwindows service
sshd 8990 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- used by ssh login with bash shell
master 7796 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
qmgr 7809 postfix DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
tuned 7866 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- tuned service
pickup 9501 postfix DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- postfix service
httpd 9524 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- httpd service
httpd 9526 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9527 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9528 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9529 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9530 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9531 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9532 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9533 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9534 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9535 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
Para reiniciar serviços gerenciados por chkconfig:
# service sshd restart
# service certmonger restart
# service postfix restart
# service tuned restart
# service httpd restart
Para reiniciar o Xorg:
# init 3
# lsof | grep DEL | grep -e crypto -e libssl
# init 5
Para verificar novamente e remover a última lista, saia:
# lsof | grep ssl | grep lib | grep DEL
sshd 8990 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- used by current ssh login with bash shell
# logout
Mitigação para clientes sem reparos
Para mitigar a vulnerabilidade descrita neste artigo você também deve desabilitar as cifras EXPORT-grade em seu cliente ou servidor. Esta ação no servidor é recomendada, principalmente quando você não pode garantir que todos os clientes conectados ao seu servidor foram reparados.
Disabilitando as cifras do EXPORT no httpd
Para cancelar a permissão do uso das cifras da classe de EXPORT através do servidor da web 'httpd' , adicione a diretiva !EXP à linha SSLCipherSuite no arquivo de configuração /etc/httpd/conf.d/ssl.conf. Por exemplo:
SSLCipherSuite HIGH:!aNULL:!MD5:!EXP
Após modificar o ssl.conf, você precisa reiniciar o serviço httpd.
# service httpd restart
Comments