FREAK — уязвимость OpenSSL (CVE-2015-0240)

В январе 2015 г. центр безопасности Red Hat опубликовал рекомендации RHSA-2015-0066 и RHSA-2015-0800 для ликвидации уязвимости FREAK (CVE-2015-0204), представляющей средний уровень угрозы для информационной безопасности.

Описание

Уязвимость FREAK позволяет понизить уровень защиты подключений клиентов OpenSSL, принудительно включив ослабленную криптографию из экспортного набора шифров (уровня EXPORT). Потенциально «человек посередине» сможет перехватить исходный запрос клиента и понизить шифрование, запросив не стандартный, а экспортный ключ. В результате клиент будет использовать слабый ключ, который может быть подобран и расшифрован злоумышленником.

Результат

Несмотря на то, что экспортный набор шифров в реализации OpenSSL в последних выпусках Red Hat Enterprise Linux (5.11, 6.6 и 7.1) по умолчанию отключен, приложения, использующие библиотеку OpenSSL, могут его включить. Поэтому уязвимость затрагивает все системы Red Hat Enterprise Linux 5, 6 и 7, включая комплекты Server, Workstation, Desktop и HPC Node.

Openssl097a в Red Hat Enterprise Linux 5 тоже попадает в группу риска, но так как Red Hat Enterprise Linux 5 уже находится на третьем этапе жизненного цикла, на котором выпускаются только критические обновления безопасности, публикация исправлений для FREAK не планируется.

Решение

Чтобы исключить вероятность атаки, установите последние обновления OpenSSL в соответствии с RHSA-2015-0066 и RHSA-2015-0800.

Для установки обновлений используйте yum:

yum update

Чтобы обновить только OpenSSL, выполните:

yum update openssl

Примечание. Чтобы предотвратить вероятность взлома со стороны незащищенных клиентов, не установивших последние обновления OpenSSL, рекомендуется отключить экспортный набор шрифтов на сервере (см. ниже «Меры предосторожности»).

Примечание. Перезагрузка компьютера гарантирует, что все службы одновременно начнут использовать обновленную библиотеку SSL. Если вы не планируете перезагружать систему, ознакомьтесь с секцией «Меры предосторожности».

Применение изменений

Чтобы изменения вступили в силу, надо перезагрузить компьютер или как минимум перезапустить затронутые службы.

Как узнать, какие процессы надо перезапустить

Чтобы узнать, какие процессы подвергаются риску, выполните команду lsof с выборкой по DEL:

# lsof | grep DEL | grep -e crypto -e libssl

sshd      7708      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- служба sshd
certmonge 7940      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- служба certmonger
Xorg      7986      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- служба Xwindows
sshd      8990      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- ssh-авторизация
master    7796      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- служба postfix
qmgr      7809   postfix  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- служба postfix
tuned     7866      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- служба tuned
pickup    9501   postfix  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- служба postfix
httpd     9524      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- служба httpd
httpd     9526    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9527    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9528    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9529    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9530    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9531    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9532    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9533    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9534    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9535    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e

Перезапустите перечисленные сервисы:

# service sshd restart
# service certmonger restart
# service postfix restart
# service tuned restart
# service httpd restart

Перезапустите Xorg:

# init 3
# lsof | grep DEL | grep -e crypto -e libssl
# init 5

Проверьте список процессов еще раз. Чтобы удалить оставшийся элемент из списка, выйдите из системы:

# lsof | grep ssl | grep lib | grep DEL
sshd      8990      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- используется текущим сеансом ssh
# logout

Меры предосторожности

Чтобы полностью исключить риск перехвата трафика, можно отключить экспортный набор шифров. Это рекомендуется сделать на стороне сервера, что обеспечит его защиту в случае, если обращающиеся к нему клиенты не обновили свое программное обеспечение и не установили последние исправления OpenSSL.

Отключение шифров EXPORT в командной строке

Чтобы запретить использование экспортного набора шифров на httpd-сервере, в файле конфигурации /etc/httpd/conf.d/ssl.conf, в строке SSLCipherSuite, добавьте директиву !EXP:

SSLCipherSuite HIGH:!aNULL:!MD5:!EXP

Завершив редактирование ssl.conf, надо перезапустить httpd.

# service httpd restart

Дополнительная информация

CVE-2015-0204 в блоге безопасности Red Hat

Was this helpful?

We appreciate your feedback. Leave a comment if you would like to provide more detail.
It looks like we have some work to do. Leave a comment to let us know how we could improve.