Защитите серверы CentOS 6 от новой уязвимости OpenSSL
CloudLinux предлагает расширенную поддержку до 2024 года, чтобы защитить ваши серверы CentOS 6 от новой уязвимости OpenSSL.
OpenSSL недавно выпустила исправление безопасности для обнаружения высокого уровня, которое затрагивает любые серверы, работающие под управлением версий 1.0.2 и 1.1.1. К сожалению, OpenSSL объявила, что не будет выпускать исправления для CentOS 6, а только для CentOS 7 и CentOS 8. Это делает любой сервер, на котором работает непропатченный OpenSSL, включая операционную систему CentOS 6, уязвимым для отказа в обслуживании (DoS), когда программное обеспечение, критически важные службы, или операционная система может выйти из строя. CloudLinux, однако, исправит текущие версии OpenSSL, неподдерживаемую версию 1.0.1 и серверы под управлением операционной системы CentOS 6.
Подробности об уязвимости CVE-2020-1971
В OpenSSL есть функция с именем GENERAL_NAME_cmp()
, которая сравнивает два параметра и выполняет два следующих действия:
- Сравнивает сертификат X.509 с элементами списка отзыва сертификатов (CRL).
- Сравнивает временную метку лица, подписавшего токен ответа, с временной меткой имени органа власти.
Эта функция важна для безопасной связи, чтобы гарантировать, что сертификат не был отозван. Организации центров сертификации (CA) отзывают сертификаты по нескольким причинам. Если личные ключи сервера были украдены из-за компрометации, центр сертификации отзовет сертификаты, чтобы защитить целостность связи. Другие причины отзыва включают неправильное использование сертификата и необходимость публикации нового сертификата, компрометацию центра сертификации или создание сертификатов центром сертификации без разрешения владельца домена. В любом из этих случаев злоумышленник может замаскироваться под целевой домен и обманом заставить пользователей доверять сайту, что затем может привести к сложной фишинговой атаке и раскрытию конфиденциальных данных.
Если злоумышленник может контролировать оба параметра, переданные в функцию GENERAL_NAME_cmp()
, условие DoS будет выполнено, если оба параметра имеют один и тот же тип. Исследователь Google, обнаруживший уязвимость, смог провести демонстрацию концепции, передав функции два параметра типа EDIPartyName
, определенные в коде OpenSSL.
Патч для уязвимости с идентификатором CVE-2020-1971 был выпущен 8 декабря 2020 г. Изменения в открытый исходный код можно найти в репозитории OpenSSL на Github. . Подробнее об уязвимости можно прочитать на странице объявлений OpenSSL.
Что может произойти, если OpenSSL оставить непропатченным?
Хотя удаленное выполнение кода (RCE) не является проблемой, серверы без исправлений могут подвергаться DoS и, возможно, состоянию распределенного отказа в обслуживании (DDoS), когда службы могут быть отключены от сети и недоступны для пользователей. Критически важные серверы, которые должны оставаться доступными для продуктивности бизнеса или должны быть онлайн для соблюдения соглашений об уровне обслуживания, могут стать целью злоумышленников. CVE установил уровень риска «Высокий», что означает, что он считается серьезной уязвимостью для организаций. Более серьезными являются только уязвимости с пометкой «Критические», и такие уязвимости случаются примерно раз в пять лет.
Смягчение последствий с помощью расширенной поддержки CentOS 6 и/или KernelCare+
В расширенной поддержке CloudLinux для CentOS 6 это исправление безопасности доступно для клиентов. Окончание срока службы (EOL) для CentOS 6 наступило в ноябре 2020 года, но CloudLinux предлагает расширенную поддержку до 2024 года, чтобы защитить серверы от уязвимости openSSL до тех пор, пока администраторы не смогут перейти на более новые версии операционной системы. Чтобы подписаться на расширенную поддержку, заполните эту форму.
KernelCare также поддерживает исправления в реальном времени для OpenSSL, а также для нескольких других общих библиотек.
Установка расширенной поддержки CloudLinux для CentOS 6
Для установки расширенной поддержки CloudLinux требуется всего несколько команд.
Загрузите скрипт установщика:
wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.py
Запустите скрипт установщика (обратите внимание, что вам понадобится лицензионный ключ):
python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX
Приведенная выше команда установит пакет centos-els-release
, содержащий ключ PGP репозитория. Вы можете убедиться, что установка завершена, выполнив следующую команду:
rpm -q centos-els-release
Вывод приведенной выше команды должен отображать:
centos-els-release-6-6.10.1.el6.x86_64
Примечание. Существующие клиенты, все еще использующие CentOS по состоянию на 1 декабря 2020 г., были автоматически переведены на поддержку EOL.
Установка KernelCare+
KernelCare+ так же просто, как установить CloudLinux ES. Чтобы установить KernelCare+, выполните одну из следующих команд:
curl -s -L https://kernelcare.com/installer | bash
Или,
wget -qq -O - https://kernelcare.com/installer | bash
Дополнительную информацию об установке KernelCare+ см. в официальной документации.
Заключение
Исследователи указывают, что эту уязвимость OpenSSL гораздо сложнее эксплуатировать, но это не означает, что вам следует откладывать исправление ваших серверов. Планируете ли вы сделать это вручную, перейти на более новую версию OpenSSL или выбрать живое исправление от KernelCare+, сделайте это немедленно! OpenSSL по-прежнему остается одной из наиболее ориентированных на программное обеспечение технологий, а DDoS-атаки происходят чаще, чем может показаться.
Связанное чтение:
- 5 инструментов динамического исправления ядра, которые помогут запускать серверы Linux без перезагрузок