[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]El mié, 18-09-2002 a las 17:54, Juan Pablo Romero escribió:
> Yo acabo de actualizarlo de esta forma:
>
> bajas el tar.gz del sitio de openssl (la última versión es 0.9.6g):
>
> http://www.openssl.org
>
> lo compilas con
>
> rpm -tb openssl-0.9.6g.tar.gz
>
> esto te va a crear los archivos:
>
> openssl-0.9.6g-1.i386.rpm
> openssl-devel-0.9.6g-1.i386.rpm
> openssl-doc-0.9.6g-1.i386.rpm
>
> en /usr/src/redhat/RPMS/i386
>
> Desinstalas la versión anterior de openssl, con 'rpm -e openssl-xxx', o
> actualizas directamente:
>
> cd /usr/src/redhat/RPMS/i386
> rpm -Uvh --nodeps openssl-*0.9.6g*
>
> Después de esto te van a hacer falta los archivos:
>
> libcrypto.so.2
> libssl.so.2
>
> (en redhat 7.3, en distribuciones anteriores puede que sean libxxx.so.1)
>
> Haces las ligas en algún lugar apropiado, como /usr/lib:
>
> cd /usr/lib
> ln -s libssl.so.0.9.6 libssl.so.2
> ln -s libcrypto.so.0.9.6 libssl.so.2
> /sbin/ldconfig
>
> Me parece que esto es todo.
>
>
> Saludos
>
> Juan Pablo
Aunque si funciona el procedimiento que mencionas, no es muy
recomendable para OpenSSL en un servidor en produccion por dos razones:
1. Muchas aplicaciones que utilizan OpenSSL tambien registran la version
exacta contra la cual fueron compiladas, y se niegan a funcionar si no
se utiliza la misma version. El caso mas famoso: OpenSSH. Si van a
utilizar este procedimiento para actualizar OpenSSL, deberan por lo
menos recompilar TODOS los paquetes que dependan de el, o como
absolutamente indispensables OpenSSH y Apache/mod_ssl.
2. La razon por la que las aplicaciones registran la version exacta es
que hay cambios dentro de la API de OpenSSL, y estos cambios pueden
afectar el funcionamiento de los programas que dependan de las funciones
nuevas o anteriores. A mi me toco lidiar con un cambio de versiones:
0.9.6 no incluye la funcion BN_test(), la cual viene incluida hasta
0.9.6e. En mi caso, el error no tuvo mucha importancia, pero en realidad
necesitarias conocer todos los cambios y saber que utiliza cada
aplicacion dependiente para evaluar el impacto de una actualizacion.
Como recomendacion personal: si la maquina en cuestion es un servidor
en produccion, de trabajo en serio, utilicen las actualizaciones del
creador de la distribucion; si el servidor es su campo de
pruebas/experimento/juguete, o te llamas Sandino Araico, y ya tienes la
experiencia de que si la riegas, tendras que visitar el 'site',
adelante! :-) Es una forma interesante de conocer un poco mas las tripas
de tu distribucion.
>
> On Wed, 2002-09-18 at 12:53, alan maciel wrote:
> > la bronca es que si tengo redhat el openssl lo tengo instalado como rpm,
> > como le hago para actualizarlo? si redhat todavia no tienen el parche ni la
> > actualizacion.
> >
> >
> > ----- Original Message -----
> > From: "Gunnar Wolf" <gwolf en campus iztacala unam mx>
> > To: <ayuda en linux org mx>
> > Sent: Wednesday, September 18, 2002 2:45 AM
> > Subject: [Ayuda] Mas de la vulnerabilidad
> >
> >
> > > Les mando este boletín respecto a la vulnerabilidad que les comentaba hace
> > > rato.
> > >
> > > Saludos,
> > >
> > > --
> > > Gunnar Wolf - gwolf en campus iztacala unam mx - (+52-55)5623-1118
> > > PGP key 1024D/8BB527AF 2001-10-23
> > > Fingerprint: 0C79 D2D1 2C4E 9CE4 5973 F800 D80E F35A 8BB5 27AF
> > >
> > > ---------- Forwarded message ----------
> > > Date: Tue, 17 Sep 2002 19:32:34 -0500 (CDT)
> > > From: UNAM-CERT <unam-cert en seguridad unam mx>
> > > Reply-To: admin-unam en seguridad unam mx
> > > To: UNAM-CERT <unam-cert en seguridad unam mx>
> > > Subject: [Admin-UNAM] Boletin-UNAM-CERT-2002-027 "Gusano Apache/mod_ssl"
> > >
> > > -----BEGIN PGP SIGNED MESSAGE-----
> > >
> > > ------------------------------------------------------------------
> > > UNAM-CERT
> > >
> > > Departamento de Seguridad en Cómputo
> > >
> > > DGSCA- UNAM
> > >
> > > Boletín de Seguridad UNAM-CERT 2002-027
> > >
> > > Gusano Apache/mod_ssl
> > >
> > > ------------------------------------------------------------------
> > >
> > > El CERT/UNAM-CERT , a través de sus equipos de respuesta a
> > > incidentes de Seguridad en Cómputo, han emitido éste boletín en el
> > > cual informan que han recibido reportes de código malicioso de
> > > autopropagación que explota una vulnerabilidad ( VU#102795) en
> > > OpenSSL. Este código malicioso ha sido referenciado como gusano
> > > Apache/mod_ssl, linux.slapper.worm y gusano bugtraq.c . Reportes
> > > recibidos por el CERT/UNAM-CERT indican que el gusano
> > > Apache/mod_ssl ya ha infectado a miles de sistemas.
> > >
> > > Fecha de 17 de Septiembre de
> > > Liberación: 2002
> > >
> > > Ultima Revisión: 17 de Septiembre de
> > > 2002
> > > CERT/CC y diversos
> > > Fuente: reportes de Equipos de
> > > Respuesta a
> > > Incidentes.
> > >
> > >
> > > SISTEMAS AFECTADOS
> > > ------------------
> > >
> > > * Sistemas Linux ejecutando Apache con mod_ssl accediendo a
> > > SSLv2 habilitado en OpenSSL 0.9.6d ó en versiones anteriores
> > > sobre arquitecturas Intel x86
> > >
> > >
> > > DESCRIPCIÓN
> > > -----------
> > >
> > > El gusano Apache/mod_ssl es un código malicioso autopropagable que
> > > explota la vulnerabilidad en OpenSSL descrita en VU#102795. Esta
> > > vulnerabilidad estaba entre los temas discutidos en el Boletín de
> > > Seguridad UNAM-CERT 2002-023 Múltiples Vulnerabilidades en
> > > OpenSSL. Mientras que esta vulnerabilidad en el servidor OpenSSL
> > > existe en una amplia variedad de plataformas, el gusano
> > > Apache/mod_ssl aparentemente trabaja solo en sistemas Linux
> > > ejecutando Apache con el módulo OpenSSL (mod_ssl) en arquitecturas
> > > Intel.
> > >
> > > El gusano Apache/mod_ssl escanea el puerto 80/tcp de sistemas
> > > potencialmente vulnerables utilizando un requerimiento HTTP GET
> > > inválido. Cuando un sistema Apache potencialmente vulnerable es
> > > detectado, el gusano intenta conectarse al servicio SSL por medio
> > > del puerto 443/tcp para entregar el código de exploit. Si es
> > > satisfactorio, una copia del código fuente malicioso es colocada
> > > en el servidor víctima, donde el sistema del intruso intentará
> > > compilarla y ejecutarla. Una vez infectado, el servidor víctima
> > > comienza a escanear otros servidores para continuar la propagación
> > > del gusano.
> > >
> > > Adicionalmente, el gusano Apache/mod_ssl puede actuar como una
> > > plataforma de lanzamiento de ataques DDoS (Distributed Denial of
> > > Service) contra otros sitios, mediante la construcción de una red
> > > de servidores infectados. Durante el proceso de infección, el
> > > servidor del intruso da instrucciones a la nueva víctima infectada
> > > para inicializar el tráfico de regreso al sistema del intruso en
> > > el puerto 2002/udp. Una vez que este canal de comunicación ha sido
> > > establecido, el sistema infectado forma parte de la red DDoS del
> > > gusano Apache/mod_ssl. Los servidores infectados pueden de esta
> > > forma compartir información con otros sistemas infectados de
> > > acuerdo a las instrucciones del intruso. De esta forma, el tráfico
> > > en el puerto 2002/udp puede ser utilizado por un intruso remoto
> > > como una canal de comunicación entre los sistemas infectados para
> > > coordinar ataques contra otros sitios.
> > >
> > > Reportes realizados al CERT/UNAM-CERT indican que el alto volumen
> > > de tráfico en el puerto 2002/udp generado entre los servidores
> > > infectados con el gusano Apache/mod_ssl puede crear problemas de
> > > rendimiento en redes con servidores infectados. Además, reparando
> > > un servidor infectado no remueve su dirección IP de la red Punto a
> > > Punto del gusano Apache/mod_ssl, los sitios que han tenido
> > > servidores infectados con el gusano Apache/mod_ssl y han sido
> > > parchados subsecuentemente, pueden continuar presentando niveles
> > > de tráfico significantes en el puerto 2002/udp direccionados a los
> > > sistemas infectados.
> > >
> > > * Identificar Servidores Infectados
> > > -----------------------------------
> > >
> > > Los reportes indican que el código fuente del gusano
> > > Apache/mod_ssl es colocado en /tmp/.bugtraq.c en los sistemas
> > > infectados. Este es compilado con gcc , dando como resultado un
> > > binario ejecutable almacenado en /tmp/.bugtraq; De esta forma, la
> > > presencia de cualquiera de los siguientes archivos en los sistemas
> > > Linux ejecutando Apache con OpenSSL es indicio de compromiso del
> > > sistema.
> > >
> > >
> > > /tmp/.bugtraq.c
> > > /tmp/.bugtraq
> > >
> > >
> > > La fase de prueba del ataque puede observarse en el registro del
> > > servidor Web como se muestra en el ejemplo siguiente. Es
> > > importante hacer notar que pueden existir otras causas para tales
> > > entradas de registro, de esta forma, la aparición de las entradas
> > > marcadas (o similares) en el registro de un servidor Web no
> > > deberían ser interpretadas como evidencia de compromiso. Sin
> > > embargo, su presencia es un indicio para la realización de una
> > > investigación a fondo.
> > >
> > > Ejemplo: La prueba inicial para identificar la versión del
> > > software del servidor.
> > >
> > >
> > > GET / HTTP/1.1
> > >
> > >
> > > Nota: En base a los reportes recibidos inicialmente por el
> > > CERT/UNAM-CERT, las versiones anteriores de éste Boletín
> > > mencionaron otros mensajes de error de SSL que podrían ser
> > > registrados en los servidores potencialmente vulnerables. En un
> > > análisis más completo, hemos concluido que éstos mensajes de
> > > registros no tienen relación con el gusano Apache/mod_ssl. Una
> > > explicación de una posible causa de éstos otros mensajes de error
> > > en mod_ssl fue proporcionada por Inktomi y aparece en el Apéndice
> > > A.
> > >
> > > Los servidores que se encuentren escuchando en el puerto 2002/udp
> > > para la transmisión de datos son también indicativos de compromiso
> > > por el gusano Apache/mod_ssl.
> > >
> > > * Detectar Actividad del Gusano Apache/mod_ssl en la Red
> > > ---------------------------------------------------------
> > >
> > > Los sistemas infectados son fácilmente identificables en una red
> > > por las siguientes características de tráfico:
> > >
> > > * Prueba - Escaneos al puerto 80/tcp
> > > * Propagación - Conexiones al puerto 443/tcp
> > > * DDoS - Transmisión o recepción de datagramas con fuente y
> > > destino en el puerto 2002/udp. Este tráfico es utilizado como
> > > un canal de comunicación entre los sistemas infectados para
> > > coordinar ataques contra otros sitios.
> > >
> > > Adicionalmente, los servidores infectados que están activamente
> > > participando en ataques DDoS contra otros sistemas pueden generar
> > > altos volúmenes inusuales de tráfico de ataques utilizando varios
> > > protocolos (TCP, UDP, ICMP por ejemplo).
> > >
> > >
> > > IMPACTO
> > > -------
> > >
> > > El compromiso por el gusano Apache/mod_ssl indica que un intruso
> > > remoto puede ejecutar código arbitrario como el usuario apache en
> > > el sistema víctima. Puede ser posible para un intruso
> > > subsecuentemente ejecutar un exploit de elevación de privilegios
> > > locales con el objetivo de obtener acceso de Administrador Local
> > > en el sistema víctima. El alto volumen de tráfico generado en el
> > > puerto 2002/udp entre los servidores infectados con el gusano
> > > Apache/mod_ssl puede conducir a problemas de rendimiento en redes
> > > con servidores infectados. Además, las capacidades de los ataques
> > > DDoS incluidas en el gusano Apache/mod_ssl permiten a un sistema
> > > víctima utilizar a otros sistemas como plataformas de lanzamiento
> > > de ataques.
> > >
> > >
> > > SOLUCIONES
> > > ----------
> > >
> > > * Aplicar un Parche
> > > -------------------
> > >
> > > Se recomienda a todos los Administradores de los sistemas
> > > ejecutando OpenSSL revisar CA-2002-23 y VU#102795 para obtener
> > > recomendaciones detalladas de los parches proporcionados por los
> > > distribuidores. Información adicional de distribuidores está
> > > disponible en el Apéndice A.
> > >
> > > Se debe hacer notar que mientras la vulnerabilidad explotada por
> > > el gusano Apache/mod_ssl fue solucionada desde la versión 0.9.6e
> > > de OpenSSL, a la última versión de OpenSSL, la 0.9.6g. Los
> > > administradores podrían actualizar su versión de OpenSSL a alguna
> > > de las anteriormente mencionadas.
> > >
> > > El siguiente texto es tomado del CA-2002-23.
> > >
> > > Actualizar a la Versión 0.9.6e de OpenSSL
> > >
> > > Actualizar a la versión 0.9.6e de OpenSSL para resolver
> > > los problemas mencionados en este boletín. Como se hizo
> > > notar en el Boletín de OpenSSL, también se encuentran
> > > disponibles los parches por separado:
> > >
> > > Parches combinados para OpenSSL 0.9.6d:
> > > http://www.openssl.org/news/patch_20020730_0_9_6d.txt
> > >
> > > Después de aplicar los parches anteriores o actualizar a
> > > la versión 0.9.6e , se deben recompilar todas las
> > > aplicaciones utilizando OpenSSL para soportar servicios
> > > SSL o TLS, y se deben reiniciar dichos servicios o
> > > sistemas. Esto eliminará todo el código vulnerable
> > > conocido.
> > >
> > > Los sitios ejecutando la preliberación de la versión
> > > 0.9.7-beta2 de OpenSSL pueden actualizar a la versión
> > > 0.9.7-beta3, la cual corrige estas vulnerabilidades. Los
> > > parches están disponibles también por separado.
> > >
> > > Parches combinados para OpenSSL 0.9.7 beta 2:
> > > http://www.openssl.org/news/patch_20020730_0_9_7.txt
> > >
> > >
> > > Deshabilitar SSLv2
> > > ------------------
> > >
> > > Deshabilitando el handshaking en SSLv2 prevendrá el exploit de
> > > VU#102795 . El CERT/UNAM-CERT recomiendan consultar la
> > > documentación de mod_ssl para obtener una completa descripción de
> > > las opciones, pero uno de los métodos para deshabilitar SSLv2 es
> > > remover SSLv2 como cifra soportada en la directiva SSLCipherSuite
> > > en el archivo de configuración. Por ejemplo:
> > >
> > >
> > > SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+SSLv2
> > >
> > >
> > > Lo cual permite que SSLv2 pueda ser cambiado a
> > >
> > >
> > > SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:!SSLv2
> > >
> > >
> > > deshabilitando SSLv2. Se debe cambiar +SSLv2 a !SSLv2.
> > >
> > > Sin embargo, los sistemas pueden permanecer susceptibles a otras
> > > vulnerabilidades descritas en CA-2002-23.
> > >
> > >
> > > Filtrar el Tráfico de Entrada y Salida
> > > --------------------------------------
> > >
> > > Los siguientes pasos son solamente efectivos para limitar el daño
> > > que sistemas ya infectados con el gusano Apache/mod_ssl puedan
> > > hacer. No proporcionan protección en absoluto contra la infección
> > > inicial del sistema. Como resultado, estos pasos son solamente
> > > recomendados como un agregado a los pasos anteriores y no como
> > > otra solución que reemplace a alguna de las anteriores.
> > >
> > > Filtrar los datos de ingreso permite tener un mejor control del
> > > flujo del tráfico cuando se introduce a la red. Los servidores son
> > > las únicas máquinas que necesitan aceptar tráfico de entrada desde
> > > el Internet público. En las políticas de red que se utilizan en
> > > muchos sitios, los servidores externos se les permite solamente
> > > inicializar tráfico de entrada a las máquinas que proporcionan
> > > servicios públicos en puertos específicos. De esta forma, el
> > > filtrado de los datos de ingreso debería ser realizado en el
> > > límite para prohibir que sea inicializado externamente tráfico de
> > > entrada para servicios no autorizados.
> > >
> > > Filtrar los datos de salida permite tener un mejor control del
> > > flujo de tráfico cuando sale de la red. Existe la necesidad de
> > > limitar típicamente las máquinas que proporcionan servicios
> > > públicos que inicializan conexiones salientes hacia el Internet.
> > >
> > > En el caso del gusano Apache/mod_ssl, empleando el filtrado el
> > > tráfico de entrada y salida puede ayudar a prevenir que los
> > > sistemas en la red participen en la red DDoS del gusano y ataquen
> > > otros sistemas. Bloqueando los datagramas UDP que tienen como
> > > fuente y destino el puerto 2002 para permitir la entrada y salida
> > > de datos en la red, reduce el riesgo de que sistemas externos
> > > infectados se comuniquen con servidores infectados dentro de la
> > > red.
> > >
> > >
> > > Recuperación de un Sistema Comprometido
> > > ---------------------------------------
> > >
> > > Si se cree que el sistema ha sido comprometido, se deben seguir
> > > los pasos mencionados en:
> > >
> > > Pasos de Recuperación de un Sistema UNIX ó NT
> > >
> > >
> > > APÉNDICE A. Información de Distribuidores
> > > ------------------------------------------
> > >
> > > Este Apéndice contiene información proporcionada por los
> > > distribuidores de éste boletín. Tan pronto como los distribuidores
> > > reporten nueva información al CERT/UNAM-CERT, se actualizará esta
> > > sección. Si un distribuidor en particular no se encuentra listado
> > > a continuación, significa que no se han recibido comentarios de su
> > > parte.
> > >
> > > Apple Computer, Inc.
> > >
> > > La vulnerabilidad descrita en éste reporte ha sido referenciada
> > > como:
> > >
> > > * Security Update 2002-08-23 para Mac OS X 10.2 (Jaguar), y
> > > como
> > > * Security Update 2002-08-02 para Mac OS X 10.1.5.
> > >
> > > Covalent Technologies
> > >
> > > Covalent Technologies ha sido informado por RSA Security de que
> > > las bibliotecas BSAFE utilizadas por implementaciones SSL de
> > > Covalent son potencialmente vulnerables al problema de negociación
> > > SSL V2 detallado en VU 102795 y los boletines relacionados:
> > > Boletín de Seguridad UNAM-CERT 2002-023 y Boletín de Seguridad
> > > UNAM-CERT 2002-027. Todos los productos Covalent utilizando SSL
> > > son afectados. Covalent tiene actualizaciones de sus productos e
> > > información disponible en:
> > > http://www.covalent.net/products/rotate.php?page=110.
> > >
> > > Inktomi
> > >
> > > Como se hizo notar en el boletín, los mensajes de registro en el
> > > servidor, como por ejemplo:
> > >
> > >
> > > GET /mod_ssl:error:HTTP-request HTTP/1.0
> > >
> > >
> > > no indican necesariamente que el sistema este comprometido.
> > > Cualquier requerimiento HTTP a un puerto que espera prestar
> > > servicios a requerimientos HTTPS generará este mensaje en el
> > > registro. El Inktomi Web crawler hace un seguimiento de enlaces
> > > URL publicados en páginas Web públicas y algunas veces es
> > > direccionado de forma incorrecta hacia servidores https. El
> > > crawler no utiliza mod_ssl de Apache (ni ningún tipo de SSL), de
> > > esta forma no está sujeto al compromiso descrito en este boletín.
> > > Pero los requerimientos crawler presentan dos de los síntomas del
> > > gusano Apache/mod_ssl:
> > >
> > > * Prueba - Escaneos al puerto 80/tcp
> > > * Propagación - Conexiones al puerto 443/tcp
> > >
> > > El crawler no utiliza el puerto 2002/udp. Los accesos al puerto 80
> > > ó los errores de handshake HTTPS de un Inktomi Web crawler no
> > > representan un ataque al servidor Web.
> > >
> > > Los sistemas Inktomi crawler tienen hostnames de la forma
> > >
> > >
> > > j[1-9][0-9][0-9][0-9].inktomisearch.com
> > > si[1-9][0-9][0-9][0-9].inktomisearch.com
> > >
> > >
> > > Las direcciones IP de los servidores Inktomi crawler se resolverán
> > > de forma DNS inversa para nombres de esta forma.
> > >
> > >
> > > INFORMACIÓN
> > > -----------
> > >
> > > Éste documento se encuentra disponible en su formato original en
> > > la siguiente dirección:
> > >
> > > http://www.cert.org/advisories/CA-2002-027.html
> > >
> > > Para mayor información acerca de éste boletín de seguridad
> > > contactar a:
> > >
> > > UNAM CERT
> > > Equipo de Respuesta a Incidentes UNAM
> > > Departamento de Seguridad en Computo
> > > DGSCA - UNAM
> > > E-Mail : seguridad en seguridad unam mx
> > > http://www.unam-cert.unam.mx
> > > http://www.seguridad.unam.mx
> > > ftp://ftp.seguridad.unam.mx
> > > Tel : 56 22 81 69
> > > Fax : 56 22 80 43
> > >
> > > -----BEGIN PGP SIGNATURE-----
> > > Version: 2.6.3i
> > > Charset: cp850
> > >
> > > iQEVAwUBPYfJrHAvLUtwgRsVAQGKYAgAjs0/AmejHW9ZSxIaXf0Hgam2MkG7k1Jh
> > > vTgPqidpg4bxIR0ghD/TM2lQGwCxXVk6OkoRo241s8UncFOwp1GJLDKL3yaII3Lb
> > > AUGOdBrZe+G/0Xu4SOcsTDjmkSTQAkpOrWrYy/qindZxBc+5u0b+7vvaS5p/yLn4
> > > KjzNTm/T8OPLSAj+wKkhQitKcPcXt3W0VEycWvTmS3FSLtfTTH3nDsdvl70x84qa
> > > wKb85ZYc+KTIVGzIwasTQx1ggZF7DKpTiqXThcARn9gMZ4CJTyS4onEdiWDSt2fn
> > > oMfgNf7mN8FBlZINQo+aOiRIDshU+HEh/pl3vAxNvv5eEp44Jnh4fw==
> > > =PpSZ
> > > -----END PGP SIGNATURE-----
Saludos
--
__(o< | Nombres/Names: Cristian Othón | cfuga en itam mx
\/|/ | Apellidos/Last Names: Martínez Vera | http://cfuga.net/
/_/_ | | http://linuxppp.com/
| "Pulchrum est paucorum hominum" - Horace
_______________________________________________
Ayuda mailing list
Ayuda en linux org mx
Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/