Lorsque l’on met à jour OpenSSL, tous les services qui utilisent les librairies SSL et qui sont chargés en mémoire ne rechargent pas les librairies (dont libssl) qui viennent d’être mises à jour.
Idéalement, il faudrait rebooter le système mais lorsqu’il s’agit d’un serveur, ce n’est pas toujours possible. Si les services ne sont pas redémarrés (restart) ou rechargés (reload) après une mise à jour, ils seront toujours vulnérables aux problèmes de sécurité que corrige la nouvelle version.
Votre site a été piraté ?
Redirections suspectes, pages injectées, compte admin fantôme, blacklist Google — une compromission WordPress ça se nettoie méthodiquement. Je localise l'infection, j'éradique le code malveillant et je referme les portes.
Aidez-moi à reprendre le contrôle →Voici donc comment détecter les services qui utilisent les librairies d’OpenSSL afin de les redémarrer et éviter de rebooter la machine.
Lister les services qui utilisent libssl
Vérifiez que votre système possède la commande lsof. Elle devrait normalement être prise en charge par votre gestionnaire de paquets.
Pour lister les services qui utilisent OpenSSL, il suffit de vérifier lesquels utilisent le paquet libssl en les classant par ordre alphabétique et en supprimant les doublons:
lsof | grep libssl | awk '{print $1}' | sort | uniqLangage du code : JavaScript (javascript)Résultat:
apache2
fail2ban-
opendkim
php5-fpm
tlsmgr
Il ne vous reste plus qu’à redémarrer les services présents dans cette liste qui font appel à OpenSSL.
Lister les services qui utilisent une ancienne version de libssl
Si vous avez mis à jour OpenSSL mais que vous n’avez pas redémarré votre serveur, il est possible que certains services utilisent toujours une ancienne librairie non-patchée d’OpenSSL.
Voici comment trouver les services qui utilisent une ancienne version de libssl:
lsof | grep 'DEL.*lib' | cut -f 1 -d ' ' | sort -uLangage du code : JavaScript (javascript)Si vous obtenez une liste de services, il ne vous reste plus qu’à les redémarrer un à un. A titre indicatif, cette commande ne retourne aucun résultat après avoir redémarré le serveur.
Dans le doute, reboote
Enfin, dernier petit conseil : n’hésitez pas à redémarrer le serveur après des mises à jour importantes. Cela reste le meilleur moyen de s’assurer que les services utilisent bien la dernière version des librairies OpenSSL.
Vos sauvegardes sont-elles vraiment fiables ?
Une sauvegarde que vous n'avez jamais testée n'est pas une sauvegarde — c'est une illusion de sécurité. Je mets en place des backups automatisés, hors-site, vérifiés, avec procédure de restauration documentée.
Mettons en place une vraie stratégie de backup →
