Lorsque l’on met à jour OpenSSL, tous les services qui utilisent les librairies SSL et qui sont chargés en mémoire ne rechargent pas les librairies (dont libssl) qui viennent d’être mises à jour.
Idéalement, il faudrait rebooter le système mais lorsqu’il s’agit d’un serveur, ce n’est pas toujours possible. Si les services ne sont pas redémarrés (restart) ou rechargés (reload) après une mise à jour, ils seront toujours vulnérables aux problèmes de sécurité que corrige la nouvelle version.
Voici donc comment détecter les services qui utilisent les librairies d’OpenSSL afin de les redémarrer et éviter de rebooter la machine.
Lister les services qui utilisent libssl
Vérifiez que votre système possède la commande lsof. Elle devrait normalement être prise en charge par votre gestionnaire de paquets.
Pour lister les services qui utilisent OpenSSL, il suffit de vérifier lesquels utilisent le paquet libssl en les classant par ordre alphabétique et en supprimant les doublons:
lsof | grep libssl | awk '{print $1}' | sort | uniqCode language: JavaScript (javascript)Résultat:
apache2
fail2ban-
opendkim
php5-fpm
tlsmgr
Il ne vous reste plus qu’à redémarrer les services présents dans cette liste qui font appel à OpenSSL.
Lister les services qui utilisent une ancienne version de libssl
Si vous avez mis à jour OpenSSL mais que vous n’avez pas redémarré votre serveur, il est possible que certains services utilisent toujours une ancienne librairie non-patchée d’OpenSSL.
Voici comment trouver les services qui utilisent une ancienne version de libssl:
lsof | grep 'DEL.*lib' | cut -f 1 -d ' ' | sort -uCode language: JavaScript (javascript)Si vous obtenez une liste de services, il ne vous reste plus qu’à les redémarrer un à un. A titre indicatif, cette commande ne retourne aucun résultat après avoir redémarré le serveur.
Dans le doute, reboote
Enfin, dernier petit conseil : n’hésitez pas à redémarrer le serveur après des mises à jour importantes. Cela reste le meilleur moyen de s’assurer que les services utilisent bien la dernière version des librairies OpenSSL.
Vous voulez un site WordPress ou WooCommerce qui soit à la fois rapide et performant? Vous êtes au bon endroit.