保护 CentOS 6 服务器免受新的 OpenSSL 漏洞的影响

CloudLinux 提供延长支持直至 2024 年,以保护您的 CentOS 6 服务器免受新的 OpenSSL 漏洞的影响。

OpenSSL 最近发布了一个安全补丁,用于影响运行 1.0.2 和 1.1.1 版本的任何服务器的高级调查结果。 不幸的是,OpenSSL 宣布它不会发布 CentOS 6 的补丁,只有 CentOS 7 和 CentOS 8。这使得任何运行未打补丁的 OpenSSL 的服务器,包括 CentOS 6 操作系统容易受到拒绝服务(DoS)的攻击,其中软件、关键服务、否则操作系统可能会崩溃。 然而,CloudLinux 将修补当前版本的 OpenSSL、不受支持的 1.0.1 版本和运行 CentOS 6 操作系统的服务器。

内容

  1. CVE-2020-1971 的漏洞详细信息
  2. 如果 OpenSSL 未打补丁会发生什么?
  3. 通过对 CentOS 6 和/或 KernelCare+ 的扩展支持来缓解
  4. 安装 CloudLinux 对 CentOS 6 的扩展支持
  5. 安装 KernelCare+
    1. 结论

CVE-2020-1971 的漏洞详细信息

OpenSSL 有一个名为 GENERAL_NAME_cmp() 比较两个参数并执行以下两个操作:

  1. 将 X.509 证书与证书吊销列表 (CRL) 中的项目进行比较。
  2. 将响应令牌签名者的时间戳与授权名称的时间戳进行比较。

该功能在安全通信中很重要,可确保证书未被撤销。 证书颁发机构 (CA) 组织出于多种原因吊销证书。 如果服务器的私钥因泄露而被盗,CA 将撤销证书以保护通信的完整性。 吊销的其他原因包括证书滥用和必须发布新证书、CA 受到威胁或 CA 在未经域所有者授权的情况下创建了证书。 在上述任何一种情况下,攻击者都可以伪装成目标域并诱使用户信任某个站点,从而导致复杂的网络钓鱼攻击和敏感数据的泄露。

如果攻击者可以控制传递给 GENERAL_NAME_cmp() 函数,如果两个参数的类型相同,则将满足 DoS 条件。 发现该漏洞的谷歌研究人员能够通过向函数传递该类型的两个参数来进行概念验证演示 EDIPartyName,在 OpenSSL 代码中定义。

漏洞补丁,分配的 ID CVE-2020-1971, 于 2020 年 12 月 8 日发布。 开源代码的更改可以在 OpenSSL 的 Github 上找到 存储库. 您可以在 OpenSSL 上阅读有关该漏洞的更多信息 公告 页。

如果 OpenSSL 未打补丁会发生什么?

虽然远程代码执行 (RCE) 不是问题,但未打补丁的服务器可能会受到 DoS 和潜在的分布式拒绝服务 (DDoS) 条件的影响,其中服务可能会离线并且对用户不可用。 必须保持可用以提高业务效率或必须在线以满足服务级别协议的关键服务器可能成为攻击者的目标。 CVE 将风险级别设置为“高”,这意味着它被视为组织的严重漏洞。 只有标记为“严重”的漏洞更严重,这些漏洞大约每五年发生一次。

通过对 CentOS 6 和/或 KernelCare+ 的扩展支持来缓解

CloudLinux Extended Support for CentOS 6 为其客户提供了此安全补丁。 CentOS 6 的生命周期终止 (EOL) 是 2020 年 11 月,但 CloudLinux 提供了到 2024 年的扩展支持,以保护服务器免受 openSSL 漏洞的影响,直到管理员可以升级到更新版本的操作系统。 要注册获得扩展支持,请填写此信息 形式.

KernelCare 还为 OpenSSL 以及其他几个提供实时修补支持 共享库.

安装 CloudLinux 对 CentOS 6 的扩展支持

CloudLinux Extended Support 的安装只需要几个命令。

下载安装程序脚本:

wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.py

运行安装程序脚本(请注意,您需要许可证密钥):

python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX

上面的命令将安装 centos-els-release 包含存储库 PGP 密钥的包。 您可以通过运行以下命令来确保安装完成:

rpm -q centos-els-release

上述命令的输出应显示:

centos-els-release-6-6.10.1.el6.x86_64

笔记: 截至 2020 年 12 月 1 日仍在运行 CentOS 的现有客户已自动转换为 EOL 支持。

安装 KernelCare+

KernelCare+ 就像安装 CloudLinux ES 一样简单。 要安装 KernelCare+,请运行以下命令之一:

curl -s -L https://kernelcare.com/installer | bash

或者,

wget -qq -O - https://kernelcare.com/installer | bash

有关安装 KernelCare+ 的更多信息,请参阅官方 文件.

结论

研究人员表示,这个 OpenSSL 漏洞更难以利用,但这并不意味着您应该延迟对服务器的修补。 无论您打算手动执行此操作、升级到较新版本的 OpenSSL 还是选择 KernelCare+ 的实时修补,请立即执行! OpenSSL 仍然是最针对软件的技术之一,DDoS 攻击比看起来更频繁。

相关阅读:

  • 5 种内核实时修补工具,可帮助无需重启即可运行 Linux 服务器

相关阅读:

Posted in: LinuxTags: