GNU/Linux >> Belajar Linux >  >> Cent OS

Jauhkan Server CentOS 6 Aman Dari Kerentanan OpenSSL Baru

CloudLinux menawarkan dukungan yang diperpanjang hingga 2024 untuk menjaga keamanan server CentOS 6 Anda dari Kerentanan OpenSSL baru.

OpenSSL baru-baru ini merilis patch keamanan untuk temuan tingkat tinggi yang memengaruhi server mana pun yang menjalankan versi 1.0.2 dan 1.1.1. Sayangnya, OpenSSL mengumumkan bahwa mereka tidak akan merilis patch untuk CentOS 6, hanya CentOS 7 dan CentOS 8. Hal ini membuat setiap server yang menjalankan OpenSSL yang belum ditambal termasuk sistem operasi CentOS 6 rentan terhadap penolakan layanan (DoS) di mana perangkat lunak, layanan kritis, atau sistem operasi bisa macet. CloudLinux, bagaimanapun, akan menambal versi OpenSSL saat ini, versi 1.0.1 yang tidak didukung, dan server yang menjalankan sistem operasi CentOS 6.

Rincian Kerentanan untuk CVE-2020-1971

OpenSSL memiliki fungsi bernama GENERAL_NAME_cmp() yang membandingkan dua parameter dan melakukan dua tindakan berikut:

  1. Membandingkan sertifikat X.509 dengan item dalam daftar pencabutan sertifikat (CRL).
  2. Membandingkan stempel waktu penandatangan token respons dengan stempel waktu nama otoritas.

Fungsi ini penting dalam komunikasi yang aman untuk memastikan bahwa sertifikat tidak dicabut. Organisasi Certificate Authority (CA) mencabut sertifikat karena beberapa alasan. Jika kunci pribadi server dicuri karena disusupi, CA akan mencabut sertifikat untuk melindungi integritas komunikasi. Alasan lain untuk pencabutan termasuk penyalahgunaan sertifikat dan yang baru harus diterbitkan, CA disusupi, atau CA membuat sertifikat tanpa izin dari pemilik domain. Dalam semua kasus ini, penyerang dapat menyamar sebagai domain yang ditargetkan dan mengelabui pengguna agar memercayai sebuah situs, yang kemudian dapat menyebabkan serangan phishing yang canggih dan pengungkapan data sensitif.

Jika penyerang dapat mengontrol kedua parameter yang diteruskan ke GENERAL_NAME_cmp() fungsi, kondisi DoS akan terpenuhi jika kedua parameter memiliki tipe yang sama. Peneliti Google yang menemukan kerentanan dapat melakukan demonstrasi proof-of-concept dengan melewatkan fungsi dua parameter jenis EDIPartyName , didefinisikan dalam kode OpenSSL.

Patch untuk kerentanan, ID yang ditetapkan CVE-2020-1971 , dirilis pada 8 Desember 2020. Perubahan pada kode sumber terbuka dapat ditemukan di repositori Github OpenSSL. . Anda dapat membaca selengkapnya tentang kerentanan di pengumuman Open OpenSSL halaman.

Apa yang Dapat Terjadi jika OpenSSL Tidak Ditambal?

Sementara eksekusi kode jarak jauh (RCE) tidak menjadi perhatian, server yang tidak ditambal dapat tunduk pada DoS dan berpotensi kondisi penolakan layanan (DDoS) terdistribusi di mana layanan dapat dibuat offline dan tidak tersedia untuk pengguna. Server penting yang harus tetap tersedia untuk produktivitas bisnis atau harus online untuk memenuhi perjanjian tingkat layanan dapat menjadi target penyerang. CVE menyetel tingkat risiko ke "Tinggi", yang artinya dianggap sebagai kerentanan serius bagi organisasi. Hanya kerentanan berlabel "Kritis" yang lebih serius, dan kerentanan ini terjadi setiap lima tahun sekali.

Mitigasi dengan Dukungan yang Diperpanjang untuk CentOS 6 dan/atau KernelCare+

Dukungan Perpanjangan CloudLinux untuk CentOS 6 memiliki patch keamanan ini yang tersedia untuk pelanggannya. End-of-Life (EOL) untuk CentOS 6 adalah November 2020, tetapi CloudLinux menawarkan dukungan yang diperpanjang hingga 2024 untuk menjaga server tetap aman dari kerentanan openSSL hingga administrator dapat meningkatkan ke versi sistem operasi yang lebih baru. Untuk mendaftar ke dukungan tambahan, isi formulir ini .

KernelCare juga memiliki dukungan patching langsung untuk OpenSSL serta beberapa pustaka bersama lainnya .

Menginstal Dukungan Perpanjangan CloudLinux untuk CentOS 6

Pemasangan Dukungan Perpanjangan CloudLinux hanya memerlukan beberapa perintah.

Unduh skrip penginstal:

wget https://repo.cloudlinux.com/centos6-els/install-centos6-els-repo.py

Jalankan skrip penginstal (perhatikan bahwa Anda memerlukan kunci lisensi):

python install-centos6-els-repo.py --license-key XXX-XXXXXXXXXXXX

Perintah di atas akan menginstal centos-els-release paket yang berisi kunci PGP repositori. Anda dapat memastikan bahwa instalasi selesai dengan menjalankan perintah berikut:

rpm -q centos-els-release

Output dari perintah di atas akan menampilkan:

centos-els-release-6-6.10.1.el6.x86_64

Catatan: Pelanggan lama yang masih menjalankan CentOS per 1 Desember 2020 secara otomatis dikonversi ke dukungan EOL.

Menginstal KernelCare+

KernelCare+ semudah menginstal CloudLinux ES. Untuk menginstal KernelCare+, jalankan salah satu perintah berikut:

curl -s -L https://kernelcare.com/installer | bash

Atau,

wget -qq -O - https://kernelcare.com/installer | bash

Untuk informasi lebih lanjut tentang menginstal KernelCare+, lihat dokumentasi resmi .

Kesimpulan

Para peneliti menunjukkan bahwa kerentanan OpenSSL ini jauh lebih sulit untuk dieksploitasi, tetapi ini tidak berarti Anda harus menunda patching server Anda. Baik Anda berencana melakukannya secara manual, meningkatkan ke versi OpenSSL yang lebih baru, atau memilih patch langsung oleh KernelCare+, lakukan segera! OpenSSL masih tetap menjadi salah satu teknologi yang paling ditargetkan untuk perangkat lunak, dan serangan DDoS lebih sering daripada yang terlihat.

Bacaan terkait:

  • 5 Kernel Live Patching Tools Yang Akan Membantu Menjalankan Server Linux Tanpa Reboot

Cent OS

  1. Cara Mengkompilasi Brotli dari Sumber di CentOS 7

  2. Cara Meningkatkan CentOS 6.10 dari CentOS 6.9-6.0

  3. Cara Meningkatkan CentOS 7.8 dari CentOS 7.7-7.0

  1. Tingkatkan ke CentOS 6.2 dari CentOS 6.1 / CentOS 6.0

  2. Tingkatkan ke CentOS 6.4 dari CentOS 6.3

  3. Tingkatkan dari CentOS 6 ke CentOS 7

  1. Bagaimana cara bermigrasi dari Centos 8 ke Rocky Linux 8

  2. Bagaimana mengkonversi dari CentOS Linux 8 ke CentOS Stream 8

  3. Instal Pemindai Kerentanan Nessus di CentOS