Kemas kini OpenSSL anda pada FreeBSD 10.x / 11.x untuk menetapkan kelemahan

FreeBSD termasuk perisian dari Projek OpenSSL untuk protokol Layer Security Transport (TLS) dan Lapisan Soket Selamat (SSL). OpenSSL mempunyai banyak kelemahan pada FreeBSD. Pada masa ini, tiada penyelesaian disediakan. Anda perlu mengemas kini OpenSSL pada versi FreeBSD 10.x dan 11.x.

Masalah Penerangan

Daripada Halaman OpenSSL:

Menggunakan SSL_read () / SSL_write () manakala dalam keadaan ralat menyebabkan data menjadi
diluluskan tanpa disahsulit / disulitkan secara langsung dari rekod SSL / TLS
lapisan.

Untuk mengeksploitasi masalah ini, bug permohonan perlu hadir
yang mengakibatkan panggilan kepada SSL_read () / SSL_write () dikeluarkan setelah mempunyai
sudah menerima ralat maut. [CVE-2017-3737]

Terdapat pepijat limpahan dalam prosedur pendaraban x86_64 Montgomery
digunakan dalam eksponensi dengan modul 1024-bit. Ini hanya memberi kesan kepada pemproses
yang menyokong AVX2 tetapi bukan sambungan ADX seperti Intel Haswell (4th
generasi). [CVE-2017-3738] Bug ini hanya memberi kesan kepada FreeBSD 11.x.

Kesan adalah seperti berikut:

Aplikasi dengan pengendalian ralat yang tidak benar mungkin tidak tepat
data tak disulitkan. [CVE-2017-3737]

Penipuan pembawaan akan menghasilkan keluaran yang salah, dan menjadikannya
lebih mudah untuk penyerang jauh untuk mendapatkan maklumat peribadi penting sensitif. Tidak
Algoritma EC dipengaruhi dan analisis mencadangkan bahawa serangan terhadap RSA dan
DSA akibat kecacatan ini akan sangat sukar untuk dilakukan dan tidak
percaya kemungkinan.

Serangan terhadap DH1024 dianggap hanya boleh dilaksanakan (walaupun sangat sukar)
kerana kebanyakan kerja yang diperlukan untuk menyimpulkan maklumat mengenai kunci persendirian
boleh dilakukan di luar talian. Jumlah sumber yang diperlukan untuk apa-apa
serangan akan menjadi sangat penting dan mungkin hanya boleh diakses dengan terhad
bilangan penyerang. Walau bagaimanapun, untuk serangan ke atas TLS menjadi bermakna, yang
pelayan perlu berkongsi kunci persendirian DH1024 di kalangan pelbagai pelanggan,
yang tidak lagi menjadi pilihan sejak CVE-2016-0701. [CVE-2017-3738]

Bagaimanakah saya membaiki masalah ini pada FreeBSD 10.x / 11.x?

Cukup jalankan dua perintah berikut dan but semula pelayan. Pertama, ketahui versi semasa anda dan tahap patch FreeBSD:
$ freebsd-version
Keluaran sampel:

11.1-RELEASE-p4

Penggunaan perintah freebsd-update mengambil dan memasang kemas kini OpenSSL kepada FreeBSD sistem asas:
# freebsd-update fetch
# freebsd-update install

Keluaran sampel:

Rajah 01: Mengemas kini FreeBSD untuk membetulkan pepijat OpenSSL
Rajah 01: Mengemas kini FreeBSD untuk membetulkan pepijat OpenSSL

Reboot pelayan / kotak FreeBSD:
# reboot
Setelah reboot, pastikan anda mendapat versi terkini:
% freebsd-version
Keluaran sampel:

11.1-RELEASE-p6

anda boleh mengemas kini semua pakej FreeBSD menggunakan arahan pkg
# pkg update && pkg upgrade
Untuk maklumat lanjut lihat ini halaman.

Source

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.