linux user group brescia
immagine del castello

Archivio della mailing list

IMPORTANTE: aggiornamento openssl!!!

Maurizio Paolini paolini a dmf.unicatt.it
Sab 14 Set 2002 13:18:40 UTC 
Per tutti coloro che hanno installato un server web apache con attiva la
modalita' SSL.

Si sta diffondendo un worm che sfrutta una recente vulnerabilita' di
openssl:

'http://securityresponse.symantec.com/avcenter/venc/data/linux.slapper.worm.html'

Per sapere se il vostro computer accetta connessioni https potete fare:

   fuser 443/tcp

se risultano dei processi (che dovrebbero essere varie copie di apache), vuol
dire che la modalita' SSL e' attiva.  In questo caso CONTROLLATE se avete
installato l'aggiornamento di sicurezza di openssl.

Per quanto riguarda la RedHat, controllate quantomeno che sia installato il
pacchetto "openssl-0.9.6b-24"; chi avesse utilizzato una versione recente
(la versione 7 e forse anche la versione 6) dei CD022,23,24 distribuiti
dal lugbs (cioe' CD022-7, ecc.), dovrebbe trovarsi gia' installato il
pacchetto aggiornato, ma e' bene controllare!

Notasi che 0.9.6b e' inferiore rispetto alla versione 0.9.6g indicata
ad esempio nella nota su slashdot, comunque a me sembra che l'update di
redhat indicato si riferisca proprio all'exploit utilizzato dal worm;
in effetti:

- slashdot punta alla pagina di symantec indicata piu' sopra
- la pagina di symantec fa riferimento al codice "CAN-2002-0656"
(CVE reference), url:
'http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0656'
- la pagina relatova a CAN-2002-0656 fa riferimento alla security alert
di RedHat identificata da: RHSA-2002:155, url:
'http://rhn.redhat.com/errata/RHSA-2002-155.html', in cui viene appunto
indicato il pacchetto summenzionato.

Credo che RedHat abbia fatto il 'backport' delle patch di sicurezza alla
versione 0.9.6b, comunque se qualcuno me lo puo' confermare sarebbe
meglio.

Nota: sono correlate anche le security alerts:
RHSA-2002:163, 164 e 157, che pero' mi pare continuano ad indicare gli 
stessi pacchetti.

Il worm purtroppo si sta diffondendo e al momento risultano attaccati almeno
3500 computers.  Prendiamo la cosa MOLTO seriamente.

Magari qualcun altro puo' indicare informazioni relative a DEBIAN, Suse,
Mandrake, Slackware

mp

Maggiori informazioni sulla lista Lug