Lorsque l’on met à jour OpenSSL, tous les services qui utilisent les librairies SSL et qui sont chargés en mémoire ne rechargent pas les librairies (dont libssl) qui viennent d’être mises à jour.

openssl-grey

Idéalement, il faudrait rebooter le système mais lorsqu’il s’agit d’un serveur, ce n’est pas toujours possible. Si les services ne sont pas redémarrés (restart) ou rechargés (reload) après une mise à jour, ils seront toujours vulnérables aux problèmes de sécurité que corrige la nouvelle version.

Voici donc comment détecter les services qui utilisent les librairies d’OpenSSL afin de les redémarrer et éviter de rebooter la machine.

Lister les services qui utilisent libssl

Vérifiez que votre système possède la commande lsof. Elle devrait normalement être prise en charge par votre gestionnaire de paquets.

Pour lister les services qui utilisent OpenSSL, il suffit de vérifier lesquels utilisent le paquet libssl en les classant par ordre alphabétique et en supprimant les doublons:

lsof | grep libssl | awk '{print }' | sort | uniq

Résultat:

apache2
fail2ban-
opendkim
php5-fpm
tlsmgr

Il ne vous reste plus qu’à redémarrer les services présents dans cette liste qui font appel à OpenSSL.

Lister les services qui utilisent une ancienne version de libssl

Si vous avez mis à jour OpenSSL mais que vous n’avez pas redémarré votre serveur, il est possible que certains services utilisent toujours une ancienne librairie non-patchée d’OpenSSL.

Voici comment trouver les services qui utilisent une ancienne version de libssl:

lsof | grep 'DEL.*lib' | cut -f 1 -d ' ' | sort -u

Si vous obtenez une liste de services, il ne vous reste plus qu’à les redémarrer un à un. A titre indicatif, cette commande ne retourne aucun résultat après avoir redémarré le serveur.

A lire :  BIND9 : résoudre l'erreur "ignoring out-of-zone data"

Dans le doute, reboote

Enfin, dernier petit conseil : n’hésitez pas à redémarrer le serveur après des mises à jour importantes. Cela reste le meilleur moyen de s’assurer que les services utilisent bien la dernière version des librairies OpenSSL.

Pour développer votre projet WordPress ou Woocommerce, faites appel à mon expertise pour réaliser un site rapide, performant et fonctionnel.

Contactez-moi

Si vous avez trouvé une faute d’orthographe, informez-nous en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée s’il vous plaît.

Articles en rapport:

Bash : lister et redémarrer tous les services qui utilisent libssl après une mise à jour d’OpenSSL

par Matt Lecture: 2 min
0
Privacy Settings

When you visit any web site, it may store or retrieve information on your browser, mostly in the form of cookies. Control your personal Cookie Services here.

These cookies are necessary for the website to function and cannot be switched off in our systems.

In order to use this website we use the following technically required cookies
  • wordpress_test_cookie

Decline all Services
Accept all Services

Pin It on Pinterest

Share This

Spelling error report

The following text will be sent to our editors: