Mise à jour Open SSL afin d’éviter la faille Heartbleed

Hébergement

La faille de sécurité Heartbleed est une des failles les plus importantes trouvées depuis longtemps

Si vous avez un doute : https://www.google.fr/?gfe_rd=cr&ei=xBtYU4TDMpCB8QeY34CIDA#q=heartbleed 50 Millions de réponses 🙂

La mise à jour des serveurs utilisant Openssl est largement conseillée, nous allons faire un point sur les machines potentiellement touchées chez OVH. Mise à jour pour les machines sous Centos + Plesk : Le guide chez plesk pour Centos : http://kb.parallels.com/fr/120990 Pour les serveurs sous release 3 : Le tutoriel Ovh est par ici : http://guide.ovh.com/CVE20140160Release3 Attention il a été corrigé le 23/04/2014. En effet, les variables contenues dans le fichier caché : ./root/.ovhrc n’étaient pas prise en compte, du coup la machine ne redémarrait pas apache (embêtant pour un serveur web). Le contenu du fichier ressemble à : (# vi .ovhrc). Au fait pour voir les fichiers cachés (# ls -la) DATACENTER= »RBX3″ COUNTRY= »France » TIMEZONE= »Europe/Paris » DISTRIB=centos6-ovh_64 DNS_IPV6=XXXXXXXXXXX DNS_IP=AAA.ZZZ.YYY.XXX DNS_HOSTNAME=sdns2.ovh.net Si vous ratez cette ligne vous pouvez toujours remplir les données à la main. (Rappel : sans certificat, Apache ne redémarrera pas). Pour le faire manuellement, il suffit de taper directement avec cette :

  • /usr/bin/openssl req -x509 -newkey rsa:4096 -keyout /etc/pki/tls/private/localhost.key -out /etc/pki/tls/certs/localhost.crt -days 9999 -nodes
  • Et de répondre aux questions correctement (en plus votre certificat sera plus complet)

La liste de questions, là voila rien de bien compliqué :

[root@nsXXXX ~]# /usr/bin/openssl req -x509 -newkey rsa:4096 -keyout /etc/pki/tls/private/localhost.key -out /etc/pki/tls/certs/localhost.crt -days 9999 -nodes Generating a 4096 bit RSA private key ……………………………………….++ ………………………………………………++ writing new private key to ‘/etc/pki/tls/private/localhost.key’ —– You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ‘.’, the field will be left blank. —– Country Name (2 letter code) [XX]:FR State or Province Name (full name) []:France Locality Name (eg, city) [Default City]:Votreville Organization Name (eg, company) [Default Company Ltd]:masociete Organizational Unit Name (eg, section) []:monorganisation Common Name (eg, your name or your server’s hostname) []:nsXXXX.ovh.net Email Address []:contact@monmail.com

Sinon vous poursuivez le guide automatique

  • echo -e « –\n${COUNTRY}\n${DATACENTER}\nOVH\n–\n${HOSTNAME}\nroot@${HOSTNAME} » | /usr/bin/openssl req -x509 -newkey rsa:4096 -keyout /etc/pki/tls/private/localhost.key -out /etc/pki/tls/certs/localhost.crt -days 9999 -nodes
  • cat /etc/pki/tls/certs/localhost.crt > /etc/pki/dovecot/certs/localhost.pem
  • cat /etc/pki/tls/private/localhost.key > /etc/pki/dovecot/private/localhost.pem

Test du serveur : Pour les tests vous pouvez  utiliser ce site : https://www.ssllabs.com/ssltest/ D’autres liens utiles sur heartbleed :

http://forum.parallels.com/showthread.php?301069-Plesk-and-the-heartbleed-bug-security-vulnerability

http://tscadfx.com/update-plesk-heartbleed-bug/

http://forum.online.net/index.php?/topic/4338-mettre-a-jour-openssl-suite-%C3%A0-faille-heartbleed-sous-plesk-115-sur-ubuntu-1204-lts/

http://www.openssl.org/docs/apps/version.html

http://kb.parallels.com/fr/120990

https://www.ssllabs.com/ssltest/analyze.html?d=mail.eoxia.com

http://guide.ovh.com/CVE20140160Release3

 

Laurent
Curieux, un tantinet hyper-actif !
Voir les articles de Laurent