截至今天,已发现OpenSSL 中的一个错误1.0.1通过1.0.1f(包括)和1.0.2-beta.
从 Ubuntu 12.04 开始,我们都很容易受到这个错误的影响。为了修补这个漏洞,受影响的用户应该更新到 OpenSSL 1.0.1g。
每个受影响的用户现在如何应用此更新?
我们有一个运行 OpenVPN 的 AWS 服务器,它是使用 Ubuntu 13.10 构建的。在宣布 Heartbleed 漏洞后,我们更新了服务器。今天早上,我们将服务器升级到 14.04。“openssl version -a”的当前输出是:
OpenSSL 1.0.1f 6 Jan 2014
built on: Mon Apr 7 21:22:23 UTC 2014
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM OPENSSLDIR: "/usr/lib/ssl"
我使用以下方法验证了服务器仍然易受攻击的事实:
:~$ openssl s_client -connect openvpn.example.com:443 -tlsextdebug 2>&1| grep …