Новая уязвимость OpenSSL и инструкция по ее устранению
5 июня 2014 г. в библиотеке OpenSSL была обнаружена очередная уязвимость (CVE-2014-0224). Эта уязвимость позволяет использовать атакам типа «человек посередине» посылать в обе стороны пакет ChangeCipherSpec, после чего атакующий может перехватывать защищенные протоколом SSL/TLS данные, используя мастер-ключи нулевой длины.
Данная уязвимость затрагивает те сайты, которые используют защищенное соединение (https://, как на нашем сайте справа от адреса сайта).
Мы создали страницу, на которой вы можете проверить наличие уязвимости CVE-2014-0224 на своем сайте — проверить сайт.
Также мы написали простую инструкцию, которая поможет вам устранить данную уязвимость.
Инструкция для владельцев shared-хостинга
Напишите в техническую службу своего хостинг-провайдера письмо следующего содержания: «Добрый день. Являемся вашими клиентами. Просим обновить библиотеку OpenSSL, которая используется на сервере, на котором находится мой сайт, до версии: 0.9.8za, 1.0.0m или 1.0.1h и сообщить о факте обновления».
Инструкция для владельцев VDS (выделенного сервера)
Уязвимость устранена в версиях 0.9.8za, 1.0.0m или 1.0.1h. Большинство дистрибутивов ОС Linux уже выпустили обновления библиотеки, либо патч к закрытию уязвимости.
1. Узнайте версию библиотеки OpenSSL. Сделать это можно через SSH с помощью команды:
$ openssl versionOpenSSL 1.0.1e 11 Feb 2013
2. Обновите библиотеку ОpenSSL. Для обновления библиотеки OpenSSL в Debian Linux, Ubuntu Linux и других дистрибутивах OC, в которых применяется менеджер пакетов apt-get, используйте следующие команды:
$ apt-get update$ apt-get upgrade openssl
После завершения процесса обновления библиотеки будет необходимо в ручном режиме перезагрузить службы, в которых используется OpenSSL: postfix, apache, nginx, sshd, php5-fpm...
Если вы работаете с дистрибутивами ОС Fedora или CentOS, воспользуйтесь утилитами yum и rpm. Для ОС SUSE Linux используйте zypper.
Если у вас возникнут вопросы по устранению данной уязвимости — пишите нам.