Que dois-je faire à propos du bogue Heartbleed pour les sites que j'exécute?

Le bogue Heartbleed récemment annoncé dans OpenSSL affecte de nombreux sites (70% d'Internet).

Il y a un site Web:

http://www.heartbleed.com

Il existe un test basé sur le Web:

http://filippo.io/Heartbleed/

Que dois-je faire pour protéger les sites que j'exécute?

openssl heartbleed

— Matt Cruikshank
source

Meilleure réponse sur Server Fault - Heartbleed: qu'est-ce que c'est et quelles sont les options pour l'atténuer?

— Sathyajith Bhat

… Ainsi que StackExchange pour les professionnels de la sécurité. Voir security.stackexchange.com/questions/55076 et security.stackexchange.com/questions/tagged/heartbleed .

— JdeBP

Tous les principaux sites informatiques de SE ont maintenant cette question ... Elle sera probablement bientôt posée même sur cooking.stackexchange.com : D

— VL-80

J'ai ajouté une version pour utilisateur final de cette question sur superuser.com/questions/739260/… (mais quelqu'un l'a déjà dévalorisée, sans explication).

— danorton

@Nikolay, maintenant je suis tellement tenté de le demander sur cooking.se ...

— Joe

Réponses:

Vous devriez:

Mettez à jour votre système vers la dernière version d'OpenSSL
Générez de nouvelles clés et certificats pour les services reposant sur OpenSSL et redémarrez-les
Révoquer les anciens certificats
Invalider toutes les sessions établies

— Exécutifs
source

Je suppose que vous ne connaissez pas de belles instructions claires pour les trois dernières étapes, n'est-ce pas?

— Paul D. Waite du

La révocation et la régénération des certificats de production impliquent généralement le processus mis en place par votre autorité de certification. Puisque cela varie d'un CA à l'autre ...

— Roger Lipscombe

La mise à jour de votre système dépend de votre gestionnaire de packages. Les sessions invalides dépendent de l'application. Quant aux certificats, vous devrez contacter votre CA mais la première étape devrait être de générer une nouvelle clé et une CSR openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr:!

— Exécutifs

Volé dans un commentaire reddit.

Mettez à jour votre système:

sudo apt-get update
sudo apt-get upgrade

Redémarrez le serveur
openssl version -a pour vous assurer que vous avez la dernière version !!

— Matt Cruikshank
source

L'OP livre!

— Je suis John Galt le

@IamJohnGalt Ce n'est pas comme si c'était un coffre-fort verrouillé ou quelque chose. ;)

— Ƭᴇcʜιᴇ007

Ce n'est pas suffisant. Les clés SSL doivent être remplacées, sans cela, un correctif vous laissera toujours vulnérable au vol de clés passé.

— Kyeotic

Cela suppose que votre système utilise apt-getcomme gestionnaire de packages. La question ne suggère pas que ce soit nécessairement le cas.

— Michael

Plus spécifiquement pour Ubuntu ou Debian en général

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Réf http://www.ubuntu.com/usn/usn-2165-1/

— rleir
source