systemadmin.es > Seguridad > Comprobar si estamos afectados por heartbleed (bug openssl CVE-2014-0160)

Comprobar si estamos afectados por heartbleed (bug openssl CVE-2014-0160)

El bug heartbleed de OpenSSL es una vulnerabilidad muy grave que no sólo nos obliga a actualizar los sistemas, sino también regenerar las claves privadas y tener que volver a firmar los certificados. Por lo tanto, debemos asegurarnos que estamos afectados tanto para sistemas Debian, Ubuntu y derivados como para RedHat, CentOS y derivados.

Las versiones afectadas son de OpenSSL 1.0.1 a 1.0.1f. Podemos consultar nuestra versión mediante openssl version:

$ openssl version
OpenSSL 1.0.1e 11 Feb 2013

Si estamos entre el rango de versiones afectadas (1.0.1 a 1.0.1f), como en este caso, podemos asumir que estamos afectados, pero debemos asegurarnos verificando el changelog del paquete, en el caso de Debian y derivados como Ubuntu:

# aptitude changelog openssl | grep -i cve
    - Fixes CVE-2013-0169, CVE-2012-2686, CVE-2013-0166
    - Fixes CVE-2012-2333 (Closes: #672452)
    - Fixes CVE-2012-2110
    - Fixes CVE-2012-0884
    - Fixes CVE-2012-1165
(...)

En este caso, efectivamente estaríamos afectados y deberíamos actualizar:

# apt-get upgrade openssl

Una vez actualizado podremos ver que ya tenemos el CVE-2014-0160 que corresponde al heartbleed:

# aptitude changelog openssl | grep -i cve-2014-0160
  * Add CVE-2014-0160.patch patch.
    CVE-2014-0160: Fix TLS/DTLS hearbeat information disclosure.

Mediante openssl version no podremos ver el cambio de versión:

# openssl version
OpenSSL 1.0.1e 11 Feb 2013

Pero podemos consultar la fecha de compilación con la opción -b, que deberá ser del 7 de abril o posterior:

# openssl version -b
built on: Tue Apr  8 10:05:11 UTC 2014

En el caso de RedHat y derivados como CentOS, es el mismo caso. Deberemos usar el comando rpm con la opción –changelog:

# rpm -q --changelog | grep -i cve-2014-0160

Actualizaremos con yum:

# yum update openssl

Pero la versión no se modificará:

# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

Por lo que deberemos volver a consultar el changelog del paquete:

# rpm -q --changelog openssl | grep CVE-2014-0160
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension

O la fecha de compilación con la opción -b de openssl version, es este caso, justo del 7 de abril:

# openssl version -b
built on: Mon Apr  7 07:30:15 EDT 2014

2 comments to “Comprobar si estamos afectados por heartbleed (bug openssl CVE-2014-0160)”

  1. Aunque siempre te estamos agradecidos por tu valiosa información, esta vez hay que darte las gracias de forma explícita. Gracias.

  2. De nada 🙂

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>