FREAK — уязвимость OpenSSL (CVE-2015-0240)
В январе 2015 г. центр безопасности Red Hat опубликовал рекомендации RHSA-2015-0066 и RHSA-2015-0800 для ликвидации уязвимости FREAK (CVE-2015-0204), представляющей средний уровень угрозы для информационной безопасности.
Описание
Уязвимость FREAK позволяет понизить уровень защиты подключений клиентов OpenSSL, принудительно включив ослабленную криптографию из экспортного набора шифров (уровня EXPORT). Потенциально «человек посередине» сможет перехватить исходный запрос клиента и понизить шифрование, запросив не стандартный, а экспортный ключ. В результате клиент будет использовать слабый ключ, который может быть подобран и расшифрован злоумышленником.
Результат
Несмотря на то, что экспортный набор шифров в реализации OpenSSL в последних выпусках Red Hat Enterprise Linux (5.11, 6.6 и 7.1) по умолчанию отключен, приложения, использующие библиотеку OpenSSL, могут его включить. Поэтому уязвимость затрагивает все системы Red Hat Enterprise Linux 5, 6 и 7, включая комплекты Server, Workstation, Desktop и HPC Node.
Openssl097a в Red Hat Enterprise Linux 5 тоже попадает в группу риска, но так как Red Hat Enterprise Linux 5 уже находится на третьем этапе жизненного цикла, на котором выпускаются только критические обновления безопасности, публикация исправлений для FREAK не планируется.
Решение
Чтобы исключить вероятность атаки, установите последние обновления OpenSSL в соответствии с RHSA-2015-0066 и RHSA-2015-0800.
Для установки обновлений используйте yum
:
yum update
Чтобы обновить только OpenSSL, выполните:
yum update openssl
Примечание. Чтобы предотвратить вероятность взлома со стороны незащищенных клиентов, не установивших последние обновления OpenSSL, рекомендуется отключить экспортный набор шрифтов на сервере (см. ниже «Меры предосторожности»).
Примечание. Перезагрузка компьютера гарантирует, что все службы одновременно начнут использовать обновленную библиотеку SSL. Если вы не планируете перезагружать систему, ознакомьтесь с секцией «Меры предосторожности».
Применение изменений
Чтобы изменения вступили в силу, надо перезагрузить компьютер или как минимум перезапустить затронутые службы.
Как узнать, какие процессы надо перезапустить
Чтобы узнать, какие процессы подвергаются риску, выполните команду lsof
с выборкой по DEL
:
# lsof | grep DEL | grep -e crypto -e libssl
sshd 7708 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- служба sshd
certmonge 7940 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- служба certmonger
Xorg 7986 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- служба Xwindows
sshd 8990 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- ssh-авторизация
master 7796 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- служба postfix
qmgr 7809 postfix DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- служба postfix
tuned 7866 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- служба tuned
pickup 9501 postfix DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- служба postfix
httpd 9524 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- служба httpd
httpd 9526 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9527 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9528 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9529 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9530 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9531 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9532 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9533 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9534 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9535 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
Перезапустите перечисленные сервисы:
# service sshd restart
# service certmonger restart
# service postfix restart
# service tuned restart
# service httpd restart
Перезапустите Xorg:
# init 3
# lsof | grep DEL | grep -e crypto -e libssl
# init 5
Проверьте список процессов еще раз. Чтобы удалить оставшийся элемент из списка, выйдите из системы:
# lsof | grep ssl | grep lib | grep DEL
sshd 8990 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- используется текущим сеансом ssh
# logout
Меры предосторожности
Чтобы полностью исключить риск перехвата трафика, можно отключить экспортный набор шифров. Это рекомендуется сделать на стороне сервера, что обеспечит его защиту в случае, если обращающиеся к нему клиенты не обновили свое программное обеспечение и не установили последние исправления OpenSSL.
Отключение шифров EXPORT в командной строке
Чтобы запретить использование экспортного набора шифров на httpd
-сервере, в файле конфигурации /etc/httpd/conf.d/ssl.conf
, в строке SSLCipherSuite
, добавьте директиву !EXP
:
SSLCipherSuite HIGH:!aNULL:!MD5:!EXP
Завершив редактирование ssl.conf, надо перезапустить httpd.
# service httpd restart
Comments