OSSN/OSSN-0012

OpenSSL Heartbleed 漏洞可能导致 OpenStack 被攻破

总结

OpenSSL 中的一个漏洞可能导致在 OpenStack 部署中受 SSL/TLS 保护的机密数据泄露。

受影响的服务 / 软件

Grizzly, Havana, OpenSSL

讨论

最近发现 OpenSSL 代码中存在一个名为 Heartbleed 的漏洞，该漏洞允许远程攻击者有限地访问使用 OpenSSL 提供网络通信加密的任何服务的内存中的数据。这可能包括用于 SSL/TLS 的密钥材料，这意味着任何通过 SSL/TLS 发送的机密数据都可能被泄露。有关完整详细信息，请参阅以下描述此漏洞的网站

http://heartbleed.com/

虽然 OpenStack 软件本身不受直接影响，但任何 OpenStack 部署很可能使用 OpenSSL 来提供 SSL/TLS 功能。

建议的操作

建议立即更新您用于运行 OpenStack 服务的系统上的 OpenSSL 软件。在大多数情况下，您需要升级到 OpenSSL 版本 1.0.1g，但建议您查看上述 Heartbleed 网站上有关受影响的确切版本的详细信息。

升级 OpenSSL 软件后，您需要重新启动任何使用 OpenSSL 库的服务。您可以通过运行以下命令来获取加载了旧版本 OpenSSL 的所有进程的列表

 lsof | grep ssl | grep DEL

上述命令显示的所有进程都需要重新启动，或者您可以选择重新启动整个系统（如果需要）。在 OpenStack 部署中，OpenStack 通常使用 OpenSSL 来为 OpenStack API 端点、SSL 终止器、数据库、消息代理和 Libvirt 远程访问启用 SSL/TLS 保护。除了原生 OpenStack 服务外，可能需要重新启动的一些常用软件包括

• Apache HTTPD
• Libvirt
• MySQL
• Nginx
• PostgreSQL
• Pound
• Qpid
• RabbitMQ
• Stud

建议您还将现有的 SSL/TLS 密钥视为已泄露，并生成新的密钥。这包括用于为 OpenStack API 端点、数据库、消息代理和 libvirt 远程访问启用 SSL/TLS 保护的密钥。

此外，任何通过 SSL/TLS 连接发送的机密数据（例如凭据）都可能已被泄露。建议云管理员更改可能通过 SSL/TLS 传输的任何密码、令牌或其他凭据。

联系方式 / 参考文献

• 作者：Nathan Kinder, Red Hat
• 作者：Robert Clark, HP
• 此 OSSN： https://wiki.openstack.org/wiki/OSSN/OSSN-0012
• OpenStack Security ML：openstack-security@lists.openstack.org
• OpenStack Security Group：https://launchpad.net/~openstack-ossg
• Heartbleed 网站： http://heartbleed.com/
• CVE：CVE-2014-0160