Como actualizar manualmente el OpenSSL

Como actualizar manualmente el OpenSSL

En el mes de mayo les comente sobre como comprobar si tu Servidor es Vulnerable a Heartbleed, hoy actualizandome con la pagina de la OSRI sobre una Nueva vulnerabilidad crítica en OpenSSL. Bueno hoy les quiero hablar sobre como saber la versión de OpenSSL de su Servidor y la actualización del mismo manual.Lo primero que debemos hacer es saber cual es la versión de nuestro OpenSSL en nuestro sistema, el mismo lo logramos mediante el siguiente comando:

$ sudo openssl version -a

Buscas las siguientes lineas

OpenSSL 1.0.1a 30 Abril 2011
built on: Mon Apr 24 14:30:22:40 UTC 2011
platform: linux-x86_64

Si la Fecha de Built on (compilada), es posterior a 9 de Julio del 2015 entonces a tu version de openssl ya se le ha arreglado el bug, no debes hacer nada, en cambio si no es asi, tal y como ves en el ejemplo que he puesto arriba, deberias actualizar por tu seguridad.

Actualización mediante repositorio

¿Como hacerlo?, pues muy fácil, abres una consola y:
En los Sistemas Basados en Debian  osea paquetes .deb (Ubuntu, LinuxMint,… etc, etc)
$ sudo apt-get update
$ sudo apt-get upgrade

En los Sistemas Basados en paquetes .rpm (Red-Hat, Suse, … etc, etc )
$ yum -y install openssl

Una vez terminada la actualizacion comprueba que la fecha de Built on sea 9 de Julio del 2015 o posterior, esto significara que tu version de openssl ya esta reparada.

Actualización mediante sources

Lo primero antes de descargar cualquier archivo debes preparar tu sistema para compilar, el mismo lo preparamos instalando estos paquetes:
$ sudo apt-get install gcc make build-essential

Una vez ya instalado dicho paquetes descargamos el sources del openssl
$ wget -c https://www.openssl.org/source/openssl-1.0.1p.tar.gz

En el caso de no tener Internet aca les dejo el mismo:
$ wget -c http://armandof.cubava.cu/files/2015/08/openssl-1.0.1p.tar.gz  

Descomprimimos el fichero con tar xvfz y entramos a la carpeta descomprimida
$ cp openssl-1.0.1p.tar.gz /opt
$ cd /opt/
$ tar xvfz openssl-1.0.1p.tar.gz
$ cd /opt/openssl-1.0.1p

Comprobamos que todas las librerias
$ ./config –prefix=/usr/local/openssl –openssldir=/usr/local/openssl
$ make
$ make test
Si todo va bien ya podemos instalar con make install
$ make install

Actualizamos el enlace simbolico
$ rm /usr/bin/openssl
$ ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

Comprobamos de nuevo el OpenSSL

En los Sistemas Basados en Debian osea paquetes .deb (Ubuntu, LinuxMint,… etc, etc)

$ /usr/local/openssl/bin/openssl version
$ sudo openssl version -a
ahora, aunque no es necesario yo recomiendo reiniciar el sistema para ello simplemente ejecuta.
$ sudo shutodown -r 0

Si todo funciona bien deberia salir algo como lo siguiente:

root@server:/usr/bin# openssl version -a
OpenSSL 1.0.1p 9 Jul 2015
built on: Wed Aug  3 07:40:02 2015
platform: linux-elf
options:  bn(64,32) rc4(8x,mmx) des(ptr,risc1,16,long) idea(int) 
compiler: gcc -I. -I.. -I../include  -DOPENSSL_THREADS -D_REENTRANT 
OPENSSLDIR: "/usr/local/openssl"

El sistema se reiniciara entero. De este modo te aseguras de que los servicios han arrancado con las actualizaciones hechas.

Bueno asi de fácil,  Si quieres asegurarte que nadie tenga tus datos te recomiendo cambiar las contraseñas de tus usuarios Linux y generar de nuevo la key ssl. de este modo si hubieras sido hackeado anteriormente a la corrección ahora ya no podrian acceder a tu sistema.

One Reply to “Como actualizar manualmente el OpenSSL”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*