Le 7 avril 2014, une vulnérabilité(CVE-2014-0160, également connue sous le nom de "Heartbleed") a été publiée qui pourrait permettre à des attaquants de consulter des informations sensibles dans la mémoire d'un serveur, telles que des clés secrètes et des mots de passe. Compte tenu de la gravité de ce problème, Linode a pris les mesures nécessaires pour garder nos clients et leurs informations à l'abri des attaques potentielles.
Suis-je vulnérable ?
Étant donné que Heartbleed est apparu dans la nature il y a plus d'un an, les serveurs peuvent avoir été compromis depuis un certain temps. Cette vulnérabilité expose un système à des attaquants qui peuvent extraire des informations sans laisser de trace d'activité malveillante.
Un outil permettant aux administrateurs de tester la vulnérabilité de leur système a été publié. Si votre site dispose d'un certificat SSL, rendez-vous sur la page de test Heartbleedentrez l'URL de votre site web et lancez le test de vulnérabilité. La source de cet outil se trouve sur GitHub. Veuillez noter qu'un résultat positif ne signifie pas que votre système n'est pas vulnérable d'une autre manière. Les logiciels qui ont été compilés avec l'ancienne bibliothèque devront être recompilés.
Linode est-il vulnérable ?
Dès que cette vulnérabilité a été révélée, notre équipe de sécurité a effectué des mises à jour sur l'ensemble de notre infrastructure afin de corriger le bogue. En raison de la nature du problème, nous sommes en train de réaliser un audit complet de nos systèmes et de régénérer les certificats concernés.
Protéger votre système
Nous encourageons tous les clients Linode à exécuter les mises à jour logicielles et à recompiler les logiciels compilés avec les bibliothèques vulnérables. À l'heure actuelle, tous nos miroirs de paquets ont été mis à jour avec des paquets contenant des correctifs pour ce problème. Si vous souhaitez en savoir plus sur les correctifs à apporter à votre système et sur la réédition des certificats SSL, veuillez consulternotre guide dans la bibliothèque Linode.
Commentaires (10)
On the VMs, I assume that it is “impossible” for vulnerable tenant to affect his/her neighbor who is patched.
The question is _WAS_ linode infra vulnerable? Is there the chance that passwords have been stolen?
If you were using an older version of openssl (CentOS 5 or even CentOS 6.4 or older) then you were never vulnerable.
What linode servers were vulnerable, and over what time period?
Seems that all of your packages have not been updated, just specific packages for specific releases. If you’re not running one of those specific releases, you either have to upgrade your entire distribution or keep running vulnerable software.
@camper67 That is correct. In fact, this vulnerability cannot even leak data from other processes on the same machine.
Stephen, of course it was. Most of the internet was/is. It was introduced about 2 years ago, so potentially for that duration of time.
Theoretically for most of the internet, including Linode, it is possible some sensitive information was leaked however since the exploit/PoC was only released yesterday (and immediately patched) I think the chance of that is very small.
Hey guys
Can I assume we’ll see an update when the new certificates are deployed and the audit is complete? There’s no point changing passwords until then.
cheers.
J Irving,
Everything is good. You can check the site referenced in the blog post against the Linode URLs and we pass:
http://filippo.io/Heartbleed/#manager.linode.com
http://filippo.io/Heartbleed/#blog.linode.com
http://filippo.io/Heartbleed/#www.linode.com
Ricardo,
I don’t think you’ve answered J Irving’s question. Tests like filippo.io/Heartbleed can tell us whether a vulnerable OpenSSL implementation is present at the time of the test.
However, according to my understanding, the test can’t tell us whether the private key and certificate being used were issued *after* all services were updated to a non-vulnerable version.
For that, we need an explicit statement from Linode.
Cheers,
Matthew
Anyone that continues to see use the same passwords after this terrible event that took years for the hosting community to find out. Is not thinking straight. If you have ever your credit card into an Open SSL encrypted gateway for typed in anything on what he felt was historically safe. you were wrong.
Change your passwords ASAP
Matthew: The private key and certificate being used were created after all services were updated to non-vulnerable versions, and the old certificates have been revoked.