我已在 Ubuntu 12.04.4 LTS 上将 OpenSSL 更新为 1.0.1 g 版:
user@server# dpkg -l |grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
ii python-openssl 0.12-1ubuntu2.1 Python wrapper around the OpenSSL library
问题:我也需要更新 Apache2 mod_ssl 吗?如果是,如何?
user@server# strings /usr/lib/apache2/modules/mod_ssl.so | grep -i "openssl"
OPENSSL_add_all_algorithms_noconf
OPENSSL_load_builtin_modules
OPENSSL_1.0.1
OPENSSL_1.0.0
SSLFIPS invalid, rebuild httpd and openssl compiled for FIPS
OpenSSL 1.0.1 14 Mar 2012
OpenSSL
AH01894: Unable to initialize TLS servername extension callback (incompatible OpenSSL version?)
AH01913: Unable to initialize TLS session ticket key callback (incompatible OpenSSL version?)
OpenSSL 1.0.1 14 Mar 2012
Apache2版本
user@server# dpkg -l |grep apache2
ii apache2 2.4.2-2~ppa1 Apache HTTP Server
ii apache2-bin 2.4.2-2~ppa1 Apache HTTP Server (binary files and modules)
ii apache2-data 2.4.2-2~ppa1 Apache HTTP Server (common files)
ii apache2-mpm-worker 2.4.2-2~ppa1 transitional worker MPM package for apache2
ii apache2-utils 2.4.2-2~ppa1 Apache HTTP Server (utility programs for web servers)
rc apache2.2-common 2.2.22-1ubuntu1.4 Apache HTTP Server common files
小智 0
我使用的是 Kali (Backtrack),它基于 Debian,但仍然类似于 ubuntu。
我首先升级了 openssl(apt-get install openssl),但是在停止并启动我的 apache2 Web 服务器后,漏洞仍然存在(由 Jared Stafford 使用 ssltest.py 进行测试......可以在网络上轻松获得)。
发现还需要升级“libssl”的说明如下: apt-get install libssl1.0.0
之后,重新启动我的网络服务器,该漏洞就消失了。
一般来说,openssl 1.0.1g 是最低的修补/安全版本。请注意,对于 Debian 发行版,openssl 和 libssl1.0.0 的最低修补/安全版本是 1.0.1e-2+deb7u6。我不知道对应的Ubuntu版本是什么。
无论如何,似乎不仅仅是升级 openssl 这么简单。
| 归档时间: |
|
| 查看次数: |
4120 次 |
| 最近记录: |