PCI DSS – Garder ses librairies OpenSSL à jour

opensslPCI DSS nous demande de conserver à jour l’ensemble des composants dont nos bibliothèques SSL. Nous avons tous subi la faille OpenSSL Heartbleed et j’ai constaté lors de l’audit d’un socle Linux que malgré une mise à jour régulière de celui-ci, aucune mise à jour de la librairie SSL n’était disponible lors de la commande apt-get update / apt-get dist-upgrade. J’ai appliqué les étapes suivantes pour mettre à jour les bibliothèques SSL sur l’ensemble des serveurs Linux Ubuntu.

Le socle technique utilisé est une version 12.04 LTS (Long Term Support).

Étape N°1 – Vérification de la version de SSL installée

 

root@VMLXTEST01:~# openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Wed Jan  8 20:45:51 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Toutes les librairies OpenSSL ayant une date inférieure au 7 Avril 2014 (Before April) doivent être mise à jour pour corriger la faille heartbleed.

Étape N°2: Installation des mises à jours

Après le lancement de la commande suivante pour connaitre la version de lib SSL.

#openssl -a version

Il faut appliquer les commandes apt-get update & apt-get dist-upgrade…c’est magique.

 

 root@VMLXTEST01:~# apt-get dist-upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Calcul de la mise à jour... Fait
Les NOUVEAUX paquets suivants seront installés :
  linux-headers-3.11.0-26 linux-headers-3.11.0-26-generic linux-image-3.11.0-26-generic
Les paquets suivants seront mis à jour :
  apache2 apache2-mpm-prefork apache2-utils apache2.2-bin apache2.2-common apt apt-transport-https apt-utils bsdutils ca-certificates curl dbus dpkg file gnupg gpgv ifupdown initramfs-tools initramfs-tools-bin iproute libapache2-mod-php5 libapt-inst1.4 libapt-pkg4.12
  libblkid1 libcurl3 libcurl3-gnutls libdbus-1-3 libdrm-intel1 libdrm-nouveau1a libdrm-radeon1 libdrm2 libgnutls26 libmagic1 libmount1 libmysqlclient18 libpython2.7 libssl1.0.0 libtasn1-3 libudev0 libuuid1 libxml2 linux-firmware linux-generic-lts-saucy
  linux-headers-generic-lts-saucy linux-image-generic-lts-saucy mount mysql-client-5.5 mysql-client-core-5.5 mysql-common mysql-server mysql-server-5.5 mysql-server-core-5.5 openssh-client openssh-server openssl perl perl-base perl-modules php5-cli php5-common
  php5-mysql python2.7 python2.7-minimal sudo tzdata udev update-manager-core update-notifier-common util-linux uuid-runtime wget whoopsie xkb-data
73 mis à jour, 3 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 165 Mo dans les archives.
Après cette opération, 288 Mo d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer [O/n] ? o
Réception de : 1 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main dpkg amd64 1.16.1.2ubuntu7.5 [1 829 kB]
Réception de : 2 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main mount amd64 2.20.1-1ubuntu3.1 [166 kB]
Réception de : 3 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main perl amd64 5.14.2-6ubuntu2.4 [4 411 kB]
Réception de : 4 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main perl-base amd64 5.14.2-6ubuntu2.4 [1 513 kB]
Réception de : 5 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main perl-modules all 5.14.2-6ubuntu2.4 [3 389 kB]
Réception de : 6 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main tzdata all 2014e-0ubuntu0.12.04 [458 kB]
Réception de : 7 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main util-linux amd64 2.20.1-1ubuntu3.1 [596 kB]
Réception de : 8 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main bsdutils amd64 1:2.20.1-1ubuntu3.1 [39,7 kB]
Réception de : 9 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libapt-pkg4.12 amd64 0.8.16~exp12ubuntu10.17 [940 kB]
Réception de : 10 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main gpgv amd64 1.4.11-3ubuntu2.6 [185 kB]
Réception de : 11 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main gnupg amd64 1.4.11-3ubuntu2.6 [808 kB]
Réception de : 12 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main apt amd64 0.8.16~exp12ubuntu10.17 [1 102 kB]
Réception de : 13 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libuuid1 amd64 2.20.1-1ubuntu3.1 [12,8 kB]
Réception de : 14 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libblkid1 amd64 2.20.1-1ubuntu3.1 [73,7 kB]
Réception de : 15 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libmount1 amd64 2.20.1-1ubuntu3.1 [71,5 kB]
Réception de : 16 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libssl1.0.0 amd64 1.0.1-4ubuntu5.16 [1 051 kB]
Réception de : 17 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libapt-inst1.4 amd64 0.8.16~exp12ubuntu10.17 [102 kB]
Réception de : 18 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libdbus-1-3 amd64 1.4.18-1ubuntu1.5 [145 kB]
Réception de : 19 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libdrm2 amd64 2.4.52-1~precise1 [26,1 kB]
Réception de : 20 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libdrm-intel1 amd64 2.4.52-1~precise1 [65,8 kB]
Réception de : 21 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libdrm-nouveau1a amd64 2.4.52-1~precise1 [14,0 kB]
Réception de : 22 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libdrm-radeon1 amd64 2.4.52-1~precise1 [27,9 kB]
Réception de : 23 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libudev0 amd64 175-0ubuntu9.5 [28,4 kB]
Réception de : 24 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libtasn1-3 amd64 2.10-1ubuntu1.2 [43,7 kB]
Réception de : 25 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libgnutls26 amd64 2.12.14-5ubuntu3.8 [459 kB]
Réception de : 26 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main openssl amd64 1.0.1-4ubuntu5.16 [523 kB]
Réception de : 27 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main ca-certificates all 20130906ubuntu0.12.04.1 [192 kB]
Réception de : 28 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libcurl3-gnutls amd64 7.22.0-3ubuntu4.8 [227 kB]
Réception de : 29 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libxml2 amd64 2.7.8.dfsg-5.1ubuntu4.9 [673 kB]
Réception de : 30 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libcurl3 amd64 7.22.0-3ubuntu4.8 [237 kB]
Réception de : 31 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main mysql-common all 5.5.38-0ubuntu0.12.04.1 [13,2 kB]
Réception de : 32 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libmysqlclient18 amd64 5.5.38-0ubuntu0.12.04.1 [949 kB]
Réception de : 33 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main initramfs-tools all 0.99ubuntu13.5 [49,0 kB]
Réception de : 34 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main initramfs-tools-bin amd64 0.99ubuntu13.5 [9 782 B]
Réception de : 35 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main udev amd64 175-0ubuntu9.5 [314 kB]
Réception de : 36 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main linux-image-3.11.0-26-generic amd64 3.11.0-26.45~precise1 [57,7 MB]
Réception de : 37 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main mysql-server all 5.5.38-0ubuntu0.12.04.1 [11,4 kB]
Réception de : 38 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main mysql-server-5.5 amd64 5.5.38-0ubuntu0.12.04.1 [8 834 kB]
Réception de : 39 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main mysql-client-core-5.5 amd64 5.5.38-0ubuntu0.12.04.1 [1 941 kB]
Réception de : 40 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main mysql-client-5.5 amd64 5.5.38-0ubuntu0.12.04.1 [8 342 kB]
Réception de : 41 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main mysql-server-core-5.5 amd64 5.5.38-0ubuntu0.12.04.1 [6 090 kB]
Réception de : 42 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libpython2.7 amd64 2.7.3-0ubuntu3.5 [1 188 kB]
Réception de : 43 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main python2.7 amd64 2.7.3-0ubuntu3.5 [2 675 kB]
Réception de : 44 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main python2.7-minimal amd64 2.7.3-0ubuntu3.5 [1 743 kB]
Réception de : 45 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main update-manager-core amd64 1:0.156.14.17 [186 kB]
Réception de : 46 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main update-notifier-common all 0.119ubuntu8.7 [222 kB]
Réception de : 47 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main whoopsie amd64 0.1.34 [24,4 kB]
Réception de : 48 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main apt-utils amd64 0.8.16~exp12ubuntu10.17 [189 kB]
Réception de : 49 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main file amd64 5.09-2ubuntu0.4 [19,7 kB]
Réception de : 50 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libmagic1 amd64 5.09-2ubuntu0.4 [217 kB]
Réception de : 51 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main sudo amd64 1.8.3p1-1ubuntu3.6 [299 kB]
Réception de : 52 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main xkb-data all 2.5-1ubuntu1.5 [473 kB]
Réception de : 53 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main iproute amd64 20111117-1ubuntu2.3 [444 kB]
Réception de : 54 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main ifupdown amd64 0.7~beta2ubuntu11.1 [48,3 kB]
Réception de : 55 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main apt-transport-https amd64 0.8.16~exp12ubuntu10.17 [16,3 kB]
Réception de : 56 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main dbus amd64 1.4.18-1ubuntu1.5 [359 kB]
Réception de : 57 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main openssh-server amd64 1:5.9p1-5ubuntu1.4 [339 kB]
Réception de : 58 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main openssh-client amd64 1:5.9p1-5ubuntu1.4 [942 kB]
Réception de : 59 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main uuid-runtime amd64 2.20.1-1ubuntu3.1 [14,1 kB]
Réception de : 60 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main wget amd64 1.13.4-2ubuntu1.1 [279 kB]
Réception de : 61 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main apache2 amd64 2.2.22-1ubuntu1.7 [1 494 B]
Réception de : 62 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main apache2-mpm-prefork amd64 2.2.22-1ubuntu1.7 [2 404 B]
Réception de : 63 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main apache2.2-common amd64 2.2.22-1ubuntu1.7 [226 kB]
Réception de : 64 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main apache2.2-bin amd64 2.2.22-1ubuntu1.7 [1 342 kB]
Réception de : 65 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main apache2-utils amd64 2.2.22-1ubuntu1.7 [89,3 kB]
Réception de : 66 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main curl amd64 7.22.0-3ubuntu4.8 [138 kB]
Réception de : 67 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main php5-cli amd64 5.3.10-1ubuntu3.13 [3 051 kB]
Réception de : 68 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main php5-mysql amd64 5.3.10-1ubuntu3.13 [76,6 kB]
Réception de : 69 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main libapache2-mod-php5 amd64 5.3.10-1ubuntu3.13 [3 137 kB]
Réception de : 70 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main php5-common amd64 5.3.10-1ubuntu3.13 [1 774 kB]
Réception de : 71 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main linux-firmware all 1.79.16 [27,7 MB]
Réception de : 72 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main linux-image-generic-lts-saucy amd64 3.11.0.26.23 [2 376 B]
Réception de : 73 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main linux-headers-3.11.0-26 all 3.11.0-26.45~precise1 [12,7 MB]
Réception de : 74 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main linux-headers-3.11.0-26-generic amd64 3.11.0-26.45~precise1 [1 078 kB]
Réception de : 75 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main linux-headers-generic-lts-saucy amd64 3.11.0.26.23 [2 372 B]
Réception de : 76 http://fr.archive.ubuntu.com/ubuntu/ precise-updates/main linux-generic-lts-saucy amd6

Étape 3: On vérifie la mise à jour des librairies OpenSSL

root@VMLXTEST01:~# openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Fri Jun 20 18:54:15 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DOPENSSL_NO_TLS1_2_CLIENT -DOPENSSL_MAX_TLS1_2_CIPHER_LENGTH=50 -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"
root@VMLXTEST01:~# 

Et voila vous avez un socle Linux avec la dernière version OpenSSL….et vous êtes protégé de la faille heartbleed

Enjoy 🙂