Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

IDS detecteert hartbleed issue

Pagina: 1
Acties:

zaterdag 19 april 2014 10:29

Acties:
  • Schuurdeur
  • Registratie: Juli 2013
  • Laatst online: 25-11 19:11

Schuurdeur

Topicstarter
Beste,

Ik kreeg vandaag in het logboek van mijn server het volgende:
2014-04-18 10:22:05 TLS client disconnected cleanly (rejected our certificate?): 1 Time(s)
2014-04-18 10:22:05 TLS error on connection from 5ed2115b.cm-7-3a.dynamic.ziggo.nl [94.210.17.91] (SSL_accept): error:1406B0CB:SSL routines:GET_CLIENT_MASTER_KEY:peer error no cipher: 1 Time(s)
2014-04-18 12:08:32 TLS client disconnected cleanly (rejected our certificate?): 1 Time(s)
2014-04-18 12:08:32 TLS error on connection from 5ed2115b.cm-7-3a.dynamic.ziggo.nl (openssl.client.net) [94.210.17.91] (SSL_accept): error:1406B0CB:SSL routines:GET_CLIENT_MASTER_KEY:peer error no cipher: 1 Time(s)
In het logboek van apache kwam ik het volgende tegen:
[Sat Apr 19 00:11:02.016534 2014] [ssl:warn] [pid 28555] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Sat Apr 19 00:11:02.016602 2014] [suexec:notice] [pid 28555] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Sat Apr 19 00:11:02.058611 2014] [so:warn] [pid 28555] AH01574: module php5_module is already loaded, skipping
[Sat Apr 19 00:11:02.086443 2014] [auth_digest:notice] [pid 28556] AH01757: generating secret for digest authentication ...
[Sat Apr 19 00:11:03.007518 2014] [ssl:warn] [pid 28556] AH01909: RSA certificate configured for localhost:443 does NOT include an ID which matches the server name
[Sat Apr 19 00:11:03.007961 2014] [ssl:warn] [pid 28556] AH01909: RSA certificate configured for localhost:443 does NOT include an ID which matches the server name
[Sat Apr 19 00:11:03.008157 2014] [ssl:warn] [pid 28556] AH02292: Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Sat Apr 19 00:11:03.008200 2014] [lbmethod_heartbeat:notice] [pid 28556] AH02282: No slotmem from mod_heartmonitor
[Sat Apr 19 00:11:03.031306 2014] [mpm_prefork:notice] [pid 28556] AH00163: Apache/2.4.7 (Unix) OpenSSL/1.0.1e-fips configured -- resuming normal operations
[Sat Apr 19 00:11:03.031431 2014] [core:notice] [pid 28556] AH00094: Command line: '/usr/sbin/httpd -D SSL'
Voorzover als ik in deze logboeken kan zien is er niets gelekt omtrent de "masterkey", is er nog een ander log behalve auth.log, access.log en error.log waar de ssl requests worden opgeslagen?

Toch wil ik mijn SSL certificaten gaan vervangen echter weet ik niet of de persoon dan weer kan toeslaan.

OpenSSL versie: OpenSSL 1.0.1e-fips 11 Feb 2013
OS: CentOS

[ Voor 0% gewijzigd door Schuurdeur op 19-04-2014 10:44 . Reden: Typo ]

zaterdag 19 april 2014 10:53

Acties:

Verwijderd

De tijdstippen van de logs zijn verschillend en ik zie geen directe aanwijzingen voor het gebruik de Heartbleed exploit. De lbmethod_heartbeat notice is van Apache's mod_lbmethod_heartbeat module en heeft niets met SSL te maken. De GET_CLIENT_MASTER_KEY error lijkt op een SSL handshake failure. Misschien connect er iets of iemand zonder SSL te praten of de verkeerde versie.

Neemt niet weg dat het ronduit achterlijk is dat je met een kwetsbare OpenSSL versie draait. Dat op zichzelf is voldoende om OpenSSL te upgraden, certificaten te revoken, nieuwe keys en certificaten te genereren en alles wat gebruik heeft gemaakt van de SSL verbinding in twijfel te trekken.

SSL certificaten vervangen zonder OpenSSL te upgraden heeft geen zin. Weet je zeker dat je er voldoende van begrijpt om een server aan het internet te hebben hangen?

zaterdag 19 april 2014 10:57

Acties:
  • Schuurdeur
  • Registratie: Juli 2013
  • Laatst online: 25-11 19:11

Schuurdeur

Topicstarter
Beste Cheatah,

Aanvallen dan wel doen als of je het allemaal beter weet is immers nergens voor nodig :/

Ik ben zelf systeem beheerder en JA ik weet wat een server aan het internet doet. Verder wil ik u wijzen op het volgende: https://access.redhat.com/site/solutions/781793

Mij versie is en backport waar dus de fix in gebakken zit. Na een update van openssl te hebben gedraaid kwam ik op deze versie uit ;)

PS: de logboeken komen interdaad niet overeen, de logboeken heb ik vandaag nogmaals gecontroleerd en daar stond ook weer de zelfde informatie in.

Proost!

[ Voor 21% gewijzigd door Schuurdeur op 19-04-2014 11:00 ]

zaterdag 19 april 2014 11:01

Acties:

Verwijderd

Lekker handig dat die versie een releasedatum van 11 Feb 2013 noemt dan... Maar heb je je key gegenereerd na de upgrade naar de versie met gebackporte fix? Want dat is dus hetgeen ik niet uit je post kan opmaken.

Het is erg simpel. Na het installeren van de patch had je een nieuwe key moeten genereren en daar een certificaat mee aan moeten vragen (of moeten zelf moeten signen afhankelijk van het gebruik). Als je die stappen al ondernomen had, had je deze vraag niet hoeven stellen.

Gebruik je certificaten van voor de upgrade? Vervangen. Ongeacht of je nu wel of niet bent aangevallen.

zaterdag 19 april 2014 11:04

Acties:
  • Schuurdeur
  • Registratie: Juli 2013
  • Laatst online: 25-11 19:11

Schuurdeur

Topicstarter
Beste,

Excuus, ik heb het certificaat + de private key vervangen NA de back-port upgrade.

zaterdag 19 april 2014 11:08

Acties:

Verwijderd

Ok, excuus dan, het leek er erg op alsof je een oude OpenSSL versie en/of oude key+cert gebruikte.

Maar wat is nu dan hetgeen je je zorgen over maakt? Als we ervan uitgaan dat de patch het lek heeft gedicht, wat zou dan de trigger zijn om over een nieuw certificaat na te denken?

zaterdag 19 april 2014 11:14

Acties:
  • Schuurdeur
  • Registratie: Juli 2013
  • Laatst online: 25-11 19:11

Schuurdeur

Topicstarter
Geen probleem, sorry dat ik misschien iets te onredelijk reageerde :).
De reden is dat de persoonlijke alarm bellen gingen rinkelen. Deze melding heb ik eigenlijk nog nooit gezien, en vooral omdat deze regel:

"[Sat Apr 19 00:11:03.008200 2014] [lbmethod_heartbeat:notice] [pid 28556] AH02282: No slotmem from mod_heartmonitor"

Mijn interesse op wekte van Mmm misschien toch maar eens na vragen :)

zaterdag 19 april 2014 11:25

Acties:

Verwijderd

Volgens mij heeft dat te maken met loadbalancing. Gebruik je loadbalancing proxy in Apache? Zo nee dan kun je die module beter uitschakelen, net als alle andere modules die je niet gebruikt. Dit is zo'n module waarvan het eigenlijk idioot is dat hij by default wordt aangezet. Een keuze van de packager waarschijnlijk.

Ik neem aan dat je CentOS of Scientific Linux gebruikt. In dat geval kan ik je zeggen dat er wel meer modules worden geladen die nergens over gaan (proxy en dav modules) om standaard te enablen. Ik heb me daar altijd al aan gestoord. Ik verwacht dat mod_proxy_balancer verantwoordelijk is voor de melding.

Grappig hoe de term "heartbeat" in zo'n korte tijd zoveel lading heeft gekregen :)

[edit]
Ik heb het overigens even gecontroleerd, en ook mijn op Red Hat gebaseerde systemen roepen 11 Feb 2013. Dit wordt gedefinieerd in opensslv.h files en heeft volgens mij geen daadwerkelijke functie (anders dan "informatief" zijn). Ik kan niet zo snel bepalen hoe verstandig is dat aan te passen, maar ik vind het niet zo'n vreemd idee als een backported patch die datum in de versie zou aanpassen.

[ Voor 22% gewijzigd door Verwijderd op 19-04-2014 11:42 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq