通过新的OpenSSL漏洞保护CentOS 6服务器安全

CloudLinux提供了扩展的支持,直到2024年,以确保您的CentOS 6服务器免受新的OpenSSL漏洞的影响。

OpenSSL最近发布了一个针对高级别发现的安全补丁,该补丁会影响运行1.0.2和1.1.1版本的所有服务器。 不幸的是,OpenSSL宣布不会发布针对CentOS 6的补丁程序,只会发布CentOS 7和CentOS 8的补丁程序。这使得任何运行未修补OpenSSL的服务器(包括CentOS 6操作系统)都容易受到拒绝服务(DoS)的攻击,其中软件,关键服务,否则操作系统可能崩溃。 但是,CloudLinux将修补OpenSSL的当前版本,不受支持的1.0.1版本以及运行CentOS 6操作系统的服务器。

CVE-2020-1971的漏洞详细信息

OpenSSL有一个名为 GENERAL_NAME_cmp() 比较两个参数并执行以下两个操作:

  1. 将X.509证书与证书吊销列表(CRL)中的项目进行比较。
  2. 将响应令牌签名者的时间戳与授权机构名称的时间戳进行比较。

该功能在安全通信中很重要,可以确保证书未被吊销。 证书颁发机构(CA)组织吊销证书的原因有很多。 如果服务器的私钥由于泄露而被盗,CA将撤销证书以保护通信的完整性。 吊销的其他原因包括证书滥用和必须发布新证书,CA受到威胁或CA未经域所有者授权而创建的证书。 在任何一种情况下,攻击者都可能伪装成目标域并诱使用户信任站点,这可能导致复杂的网络钓鱼攻击和敏感数据泄露。

如果攻击者可以控制传递给 GENERAL_NAME_cmp() 如果两个参数的类型相同,则将满足DoS条件。 一位发现该漏洞的Google研究人员能够通过向该函数传递两个类型的参数来执行概念验证演示 EDIPartyName,在OpenSSL代码中定义。

漏洞的修补程序,已分配ID CVE-2020-1971,于2020年12月8日发布。对开源代码的更改可以在OpenSSL的Github上找到。 资料库。 您可以阅读有关OpenSSL漏洞的更多信息 公告 页。

如果未修补OpenSSL会发生什么?

尽管不必担心远程代码执行(RCE),但未打补丁的服务器可能会受到DoS的影响,并且可能会受到分布式拒绝服务(DDoS)的影响,在这种情况下,服务可能会脱机并且对用户不可用。 关键服务器必须保持可用状态以提高业务生产力,或者必须在线才能满足服务水平协议,这可能是攻击者的目标。 CVE将风险级别设置为“高”,这意味着它被视为组织的严重漏洞。 仅标记为“严重”的漏洞更为严重,并且这些漏洞大约每五年发生一次。

扩展支持CentOS 6和/或KernelCare +的缓解措施

对CentOS 6的CloudLinux扩展支持为其客户提供了此安全补丁。 CentOS 6的生命周期终止(EOL)是2020年11月,但是CloudLinux提供了扩展的支持,直到2024年为止,以确保服务器免受openSSL漏洞的影响,直到管理员可以升级到较新版本的操作系统为止。 要申请扩展支持,请填写此 形成

KernelCare还具有对OpenSSL以及其他几个实时补丁的支持 共享库

为CentOS 6安装CloudLinux扩展支持

安装CloudLinux扩展支持仅需要几个命令。

下载安装程序脚本:

wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.py

运行安装程序脚本(请注意,您需要您的许可证密钥):

python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX

上面的命令将安装 centos-els-release 包含存储库PGP密钥的软件包。 您可以通过运行以下命令来确保安装完成:

rpm -q centos-els-release

上面命令的输出应显示:

centos-els-release-6-6.10.1.el6.x86_64

注意: 到2020年12月1日仍在运行CentOS的现有客户已自动转换为EOL支持。

安装KernelCare +

KernelCare +与安装CloudLinux ES一样容易。 要安装KernelCare +,请运行以下命令之一:

curl -s -L https://kernelcare.com/installer | bash

要么,

wget -qq -O - https://kernelcare.com/installer | bash

有关安装KernelCare +的更多信息,请参阅官方 文件资料

结论

研究人员指出,利用此OpenSSL漏洞要困难得多,但这并不意味着您应该延迟对服务器的修补。 无论您打算手动执行此操作,升级到OpenSSL的较新版本还是通过KernelCare +选择实时修补,都应立即执行! OpenSSL仍然是针对软件的最主要技术之一,而且DDoS攻击比看起来更频繁。

相关阅读:

  • 5个内核实时修补工具,这些工具将有助于在不重新引导的情况下运行Linux服务器

CentOSCloudLinuxKernelCareLinuxLive Kernel Patching ServiceOpenSSLSecurity补丁

Sidebar