web-dev-qa-db-fra.com

Dois-je mettre à jour mod_ssl pour CVE-2014-0160?

J'ai mis à jour OpenSSL vers la version 1.0.1 g sur mon Ubuntu 12.04.4 LTS:

user@server# dpkg -l |grep openssl
ii  openssl                              1.0.1-4ubuntu5.12                   Secure Socket Layer (SSL) binary and related cryptographic tools
ii  python-openssl                       0.12-1ubuntu2.1                     Python wrapper around the OpenSSL library

Question: Dois-je mettre à jour Apache2 mod_ssl également? Si oui comment?

user@server# strings /usr/lib/Apache2/modules/mod_ssl.so | grep -i "openssl"
OPENSSL_add_all_algorithms_noconf
OPENSSL_load_builtin_modules
OPENSSL_1.0.1
OPENSSL_1.0.0
SSLFIPS invalid, rebuild httpd and openssl compiled for FIPS
OpenSSL 1.0.1 14 Mar 2012
OpenSSL
AH01894: Unable to initialize TLS servername extension callback (incompatible OpenSSL version?)
AH01913: Unable to initialize TLS session ticket key callback (incompatible OpenSSL version?)
OpenSSL 1.0.1 14 Mar 2012

Version Apache2

user@server# dpkg -l |grep Apache2
ii  Apache2                              2.4.2-2~ppa1                        Apache HTTP Server
ii  Apache2-bin                          2.4.2-2~ppa1                        Apache HTTP Server (binary files and modules)
ii  Apache2-data                         2.4.2-2~ppa1                        Apache HTTP Server (common files)
ii  Apache2-mpm-worker                   2.4.2-2~ppa1                        transitional worker MPM package for Apache2
ii  Apache2-utils                        2.4.2-2~ppa1                        Apache HTTP Server (utility programs for web servers)
rc  Apache2.2-common                     2.2.22-1ubuntu1.4                   Apache HTTP Server common files
5
sebastian

Non, ModSSL est une interface avec OpenSSL, il n'aura donc pas besoin de mises à jour.

1
NGRhodes

J'utilise Kali (Backtrack) qui est basé sur Debian, mais similaire à Ubuntu.

J'ai d'abord mis à niveau openssl (apt-get install openssl), mais après avoir arrêté et démarré mon serveur Web Apache2, la vulnérabilité était toujours présente (test avec ssltest.py de Jared Stafford ... facilement disponible sur le Web).

J'ai trouvé des instructions indiquant qu'il est également nécessaire de mettre à jour "libssl" comme suit: apt-get install libssl1.0.0

Après cela et après avoir redémarré mon serveur Web, la vulnérabilité a disparu.

En général, openssl 1.0.1g est la version minimale corrigée/sécurisée. Notez que pour les distributions Debian, la version minimale corrigée/sûre d'OpenSL et de libssl1.0.0 est 1.0.1e-2 + deb7u6. Je ne sais pas quelle serait la version correspondante d'Ubuntu.

En tout cas, il semble y avoir plus qu’une simple mise à jour de openssl.

0
user269332