Weblog

door Bas onder GeneralVPS / Server Management | 0 comments

Grote Kwetsbaarheid gevonden in OpenSSL - Update vereist

Zoals u wellicht in het nieuws al heeft gelezen is vanochtend een kwetsbaarheid bekend geworden in OpenSSL.

Het OpenSSL pakket wordt gebruikt bij het tot stand brengen van beveiligde verbindingen zoals TLS en SSL. U kent dit ondermeer van beveiligde browserverbindingen en SSH-verbindingen. U herkent dergelijke beveiligde verbindingen ondermeer aan het groene slotje in uw browser. OpenSSL wordt gebruikt voor het opzetten van beveiligde verbindingen in de belangrijkste open source web servers (Apache en nginx), mail servers (SMTP, POP en IMAP protocollen) en vele andere applicaties.

In dit pakket is vandaag een zwakheid, genaamd 'Heartbleed bug' bekend gemaakt waarmee kwaadwillenden stukken van uw  communicatie kunnen meeluisteren op uw beveiligde verbindingen. Dat betekent ook dat zaken als wachtwoorden of private keys niet meer veilig kunnen worden overgestuurd maar kunnen worden afgeluisterd.

Inmiddels is voor alle actief ondersteunde besturingssystemen een update beschikbaar, het is dan ook van groot belang dat u deze installeert.

Wat u moet doen

Om de verbindingen weer optimaal veilig te krijgen moeten de OpenSSL-pakketten worden geupdated. Dit zullen wij vandaag nog uitvoeren voor onze Service Level 2 en 3 klanten. Service Level 1 klanten kunnen de onderstaande instructies volgen.

Wij raden het ook aan om alle certificaten die gebruikt worden voor het beschermen van gevoelige data te vervangen. Wij kunenn dit gratis ondersteunen voor Service Level 2 en 3 klanten, voor Service Level 1 klanten gelden onze normale tarieven.

De server-side handelingen die verricht moeten worden worden bepaald door de distributie die wordt gebruikt. Voor de meest voorkomende combinaties zijn dit de handelingen:

Ubuntu 12.04/12.10/13.04/13.10 en Debian 7

Voor Ubuntu 12.04/12.10/13.04/13.10 (met of zonder Plesk) en Debian 7 (met of zonder Plesk):

$ apt-get update
$ apt-get install openssl libssl1.0.0

Als u deze commando's heeft uitgevoerd dient u voor de zekerheid handmatig alle diensten die gebruikmaken van OpenSSL te herstarten, zoals webservers zoals Apache en Nginx en mailservers zoals Exim en Postfix. Om zeker te zijn dat alle diensten herstart worden die herstart moeten worden kunt u ook uw hele server herstarten. Hou er rekening mee dat dit tevens tot gevolg kan hebben dat uw server een filesystemcheck uitvoert.

Centos 6.x met of zonder Plesk:

$ yum install openssl

Als u dit commando heeft uitgevoerd dient u voor de zekerheid handmatig alle diensten die gebruikmaken van OpenSSL te herstarten, zoals webservers zoals Apache en Nginx en mailservers zoals Exim en Postfix. Om zeker te zijn dat alle diensten herstart worden die herstart moeten worden kunt u ook uw hele server herstarten. Hou er rekening mee dat dit tevens tot gevolg kan hebben dat uw server een filesystemcheck uitvoert.

Centos 6.x met DirectAdmin:

Bij deze servers is het niet voldoende om enkel een nieuwe versie van OpenSSL te installeren; u dient ook DirectAdmin met alle gebruikte onderdelen te hercompileren. Dit kan even duren, afhankelijk van de hoeveelheid pakketten die u gebruikt onder DirectAdmin.

$ yum install openssl openssl-devel
$ cd /usr/local/directadmin/custombuild/
$ ./build clean
$ ./build update
$ ./build apache
$ ./build php n
$ ./build dovecot
$ ./build rewrite_confs

De services worden in dit geval automatisch herstart.  We adviseren u evengoed om de server alsnog te herstarten om zeker te zijn dat alle diensten herstart worden die herstart moeten worden. Hou er rekening mee dat dit tevens tot gevolg kan hebben dat uw server een filesystemcheck uitvoert.

Centos 6.x met Cpanel

Voor deze servers kunt u gebruik maken van de webinterface. U hoeft dus geen commando%E2%80%99s in te typen.

1. Log in op WHM
2. Update Server Software doorlopen
3. Update System software doorlopen
4. EasyApache > Previously Saved Config > Build profile now

Dit updatet alle software die afhankelijk is van SSL en herstart de relevante services automatisch.

De services worden in dit geval automatisch herstart. We adviseren u evengoed om de server alsnog te herstarten om zeker te zijn dat alle diensten herstart worden die herstart moeten worden. Hou er rekening mee dat dit tevens tot gevolg kan hebben dat uw server een filesystemcheck uitvoert.

Heeft u naar aanleiding van dit bericht nog vragen of opmerkingen? Stuurt u dan een berichtje naar support@cloudvps.com, wij zullen uw mail dan zo spoedig mogelijk beantwoorden. Hieronder geven wij nog een FAQ over deze vulnerabilty.

OpenSSL Vulnerability FAQ

Waar heeft deze kwetsbaarheid betrekking op?

De kwetsbaarheid betreft verbindingen die met TLS/SSL beveiligd zijn zoals HTTPS, IMAPS en POP3S . U kent deze beveiligde verbindingen van ondermeer telebankieren, waarbij u een groen slotje in uw webbrowser ziet dat aangeeft dat de verbinding zelf versleuteld is.

Hoe werkt de kwetsbaarheid?

Door een programmeerfout in de veelgebruikte OpenSSL-software kunnen kwaadwillenden via het internet informatie uit het geheugen van het serverproces lezen zoals gebruikersnamen en wachtwoorden van webapplicaties, of de inhoud van emails in het geval van een mailserver.

Dit betekent dus dat de kans bestaat dat iemand anders bijvoorbeeld uw wachtwoord afvangt of dat iemand anders zich voordoet als de originele server en daarbij de originele serversleutel gebruikt ter identificatie.

Hoe ernstig is dit?

Kort samengevat is dit zeer ernstig. De kwetsbaarheid is zeer recent ontdekt en meteen opgelost, maar de code waar deze kwetsbaarheid in zit is inmiddels twee jaar oud. Dat betekent dus dat de kwetsbaarheid twee jaar heeft bestaan; de kans is aanwezig dat deze kwetsbaarheid in de afgelopen twee jaar dan ook misbruikt is door kwaadwillenden. Of dit bij uw systemen ook het geval is, is onduidelijk. Het is namelijk een aanval die verder onzichtbaar is voor het systeem, er worden geen meldingen van gedaan in logbestanden.

Zijn alle omgevingen hier gevoelig voor?

Nee. Enkel de systemen die gebruik maken van OpenSSL versies 1.0.1f of lager of OpenSSL versies 1.0.2-beta1 of lager zijn kwetsbaar.
Systemen die gebruikmaken van OpenSSL versies 0.9.7, 0.9.8 of 1.0.0 zijn niet bevattelijk voor deze kwetsbaarheid.

In praktijk betekent dit dat in elk geval de volgende systemen kwetsbaar kunnen zijn:

  • Debian Wheezy (stable) met pakket OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS met pakket OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5 met pakket OpenSSL 1.0.1e-15
  • Fedora 18 met pakket OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) en 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 10.0 met pakket OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 met pakket OpenSSL 1.0.1e
  • OpenSUSE 12.2 met pakket OpenSSL 1.0.1c

Van de volgende systemen is bekend dat ze standaard niet kwetsbaar zijn:

  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD Ports - OpenSSL 1.0.1g (beken op 7 Apr 21:46:40 2014 UTC)
  • CentOS 5.x
  • Ubuntu pre 12.04

Staat uw systeem hier niet bij? Controleer dan vooral zelf of uw systeem gevoelig is voor deze kwetsbaarheid.

Het is overigens niet gezegd dat uw systeem definitief niet of wel kwetsbaar is enkel wanneer deze is opgenomen in een van bovenstaande lijsten; wanneer u zelf allerhande updates of uitbreidingen heeft gedaan is het mogelijk dat uw systeem anders reageert dan hierboven staat. Het is dus ook hier belangrijk om zelf nog even te controleren.

Ik zie enkel Linux- en *BSD-systemen staan. Heeft Windows hier geen last van?

Windows maakt standaard geen gebruik van OpenSSL en is voor zover nu bekend is niet gevoelig voor deze kwetsbaarheid. Maar let op! Als u zelf Apache heeft geïnstalleerd op een Windows-server, dan bestaat de kans dat uw server alsnog kwetsbaar is. Controleer dan alsnog handmatig of hier inderdaad sprake van is.

Hoe kan ik zien of mijn systeem gevoelig is voor deze kwetsbaarheid?

U kunt gebruik maken van deze test: http://filippo.io/Heartbleed/
Vul hier het adres in van uw beveiligde verbinding (bijvoorbeeld www.cloudvps.com).

Als uw systeem niet vatbaar is, dan krijgt u de tekst  ‘All good, <adres> seems safe!’.
Als uw systeem wel vatbaar is, dan krijgt u de tekst ‘ <adres> IS VULNERABLE’
Als u een andere mededeling ziet dan dit is er een ander probleem, bijvoorbeeld wanneer uw server niet bereikbaar is.

Wat moet ik doen als mijn systeem kwetsbaar is?

Als uw systeem kwetsbaar is dan dient u zo spoedig mogelijk de update voor OpenSSL te installeren.
Op ons weblog hebben we voor de meest voorkomende systemen beschreven welke handelingen u daarvoor dient te verrichten:
http://www.cloudvps.nl/blog/grote-kwetsbaarheid-gevonden-in-openssl-update-vereist/

Is het probleem opgelost als ik de update heb geïnstalleerd of wanneer mijn systemen niet kwetsbaar waren?

Nee, helaas niet. Dit probleem betreft namelijk niet alleen de beveiligde verbindingen naar uw server, maar ook de beveiligde verbindingen die u zelf maakt en heeft gemaakt naar andere omgevingen. De kans bestaat dus dat de serversleutel (of in technische termen de ‘private key’ behorende bij uw SSL-certificaat) is buitgemaakt in de afgelopen twee jaar. Evenzo bestaat de kans dat uw eigen wachtwoord is buitgemaakt terwijl u inlogde op een server die kwetsbaar was.

Veel gebruikers kiezen er daarom voor om overal de wachtwoorden te wijzigen en om voor de eigen SSL certificaten een zogeheten ‘reissue’ aan te vragen waarbij zowel de private als publieke sleutel vernieuwd worden. Of dit ook voor u noodzakelijk is moet u zelf bepalen; enkel u kunt bepalen hoe groot de kans op misbruik is geweest en hoe groot de schade bij misbruik is. Voor een grote webwinkel ligt dit uiteraard anders dan voor een private website waar enkel vakantiekiekjes met familie worden gedeeld.

Kunnen jullie hulp bieden bij het installeren van de updates op mijn server?

Dat kan, maar daar zullen we wel een kleine vergoeding voor vragen. Als u hier interesse in heeft, wilt u dan even een mail sturen naar support@cloudvps.nl? Daar helpen we u graag verder. Houdt u evenwel rekening met een wachttijd, door het grote aantal aanvragen kan het even duren voor we uw vraag in behandeling kunnen nemen.

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen