Openssl 更新后服务器仍然容易受到 HeartBleed 的影响

Question

Openssl 更新后服务器仍然容易受到 HeartBleed 的影响

Dev*_*ops 4 openssl apache-2.4 heartbleed

在 Centos 6.5 Minimal 安装中，我编译了 Apache、PHP 和 rpm 安装的 Percona。

几天前更新 OpenSSL 后，我在此服务器上使用 SSL 的站点以某种方式容易受到 Heartbleed 的攻击。

我的 Apache 二进制文件根本没有显示它正在使用 libssl.so*，但是当我通过https://filippo.io/Heartbleed/检查它时，它说我的网站实际上易受攻击。

我检查的东西不正确吗？

[root@centos user]# ldd /usr/local/apache2/bin/httpd |grep -i ssl
[root@centos user]#

Run Code Online (Sandbox Code Playgroud)

我已经通过 yum ( yum update openssl openssl-devel)更新了 OpenSSL ，我已经重新编译了 Apache（自 openssl 更新以来四次），我已经重新编译了 PHP（自更新以来），并且我已经重新安装了 Percona。

尽管一切都是最新的，但我仍然收到“网站易受攻击”的消息。

[root@centos user]# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Apr  8 02:39:29 UTC 2014
platform: linux-x86_64
options:  bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  dynamic

Run Code Online (Sandbox Code Playgroud)

如果有任何帮助，我会使用以下选项编译 apache：

./configure --prefix=/usr/local/apache2 \
            --with-apxs2=/usr/local/apache2/bin/apxs \
            --with-mysql=/opt \
            --with-mysqli=/usr/bin/mysql_config \
            --with-gd --with-ttf=/opt \
            --with-xpm-dir=/opt \
            --with-freetype-dir=/opt \
            --enable-gd-native-ttf \
            --with-zlib-dir=/opt \
            --with-curl=/opt/include/curl \
            --enable-mbstring \
            --with-xsl=/opt \
            --with-libexpat-dir=/opt \
            --with-jpeg-dir=/opt \
            --with-png-dir=/opt \
            --enable-soap \
            --with-openssl \
            --with-ssl=/usr/local/openssl \
            --with-included-apr \
            --with-pcre=/usr/local/pcre/ \
            --with-mpm=worker \
            --enable-rewrite \
            --enable-ssl;

Run Code Online (Sandbox Code Playgroud)

我使用以下命令将 OpenSSL 1.0.1g 版本编译到 /usr/local/openssl：

export CFLAGS="-fPIC";
openssl-1.0.1g]# ./config shared no-ssl2 no-ssl3 --openssldir=/usr/local/openssl

Run Code Online (Sandbox Code Playgroud)

我尝试过更新 OpenSSL、重新编译 Apache、重新编译 PHP、重新安装 Percona、重新启动、编译 OpenSSL（不可否认是错误的并且没有运气），但仍然无法修补此漏洞。

我已经重新启动了服务器，以确保 Ram 中没有加载任何库。

以下是有关库的输出：

[root@centos php-5.5.9]# grep 'libssl.*(deleted)' /proc/*/maps
/proc/4497/maps:7faf80018000-7faf80079000 r-xp 00000000 fd:00 1591034                    /usr/lib64/libssl.so.6 (deleted)
/proc/4497/maps:7faf80079000-7faf80278000 ---p 00061000 fd:00 1591034                    /usr/lib64/libssl.so.6 (deleted)
/proc/4497/maps:7faf80278000-7faf8027c000 r--p 00060000 fd:00 1591034                    /usr/lib64/libssl.so.6 (deleted)
/proc/4497/maps:7faf8027c000-7faf80283000 rw-p 00064000 fd:00 1591034                    /usr/lib64/libssl.so.6 (deleted)
/proc/4506/maps:7f21d735d000-7f21d73be000 r-xp 00000000 fd:00 1591034                    /usr/lib64/libssl.so.6 (deleted)
/proc/4506/maps:7f21d73be000-7f21d75bd000 ---p 00061000 fd:00 1591034                    /usr/lib64/libssl.so.6 (deleted)
/proc/4506/maps:7f21d75bd000-7f21d75c1000 r--p 00060000 fd:00 1591034                    /usr/lib64/libssl.so.6 (deleted)
/proc/4506/maps:7f21d75c1000-7f21d75c8000 rw-p 00064000 fd:00 1591034                    /usr/lib64/libssl.so.6 (deleted)
/proc/4594/maps:311b000000-311b061000 r-xp 00000000 fd:00 1591034                        /usr/lib64/libssl.so.6 (deleted)
/proc/4594/maps:311b061000-311b260000 ---p 00061000 fd:00 1591034                        /usr/lib64/libssl.so.6 (deleted)
/proc/4594/maps:311b260000-311b264000 r--p 00060000 fd:00 1591034                        /usr/lib64/libssl.so.6 (deleted)
/proc/4594/maps:311b264000-311b26b000 rw-p 00064000 fd:00 1591034                        /usr/lib64/libssl.so.6 (deleted)

Run Code Online (Sandbox Code Playgroud)

要查看我使用的版本：

[root@centos php-5.5.9]# strings /usr/lib64/libssl.so.6|grep -i openssl
OpenSSLDie
OPENSSL_cleanse
OPENSSL_DIR_read
OPENSSL_DIR_end
OPENSSL_init_library
OPENSSL_1.0.1
OPENSSL_1.0.1_EC
SSLv2 part of OpenSSL 1.0.1e-fips 11 Feb 2013
SSLv3 part of OpenSSL 1.0.1e-fips 11 Feb 2013
TLSv1 part of OpenSSL 1.0.1e-fips 11 Feb 2013
DTLSv1 part of OpenSSL 1.0.1e-fips 11 Feb 2013
OpenSSL 1.0.1e-fips 11 Feb 2013
OPENSSL_DIR_read(&ctx, '
OPENSSL_DEFAULT_ZLIB
OPENSSL_malloc Error

Run Code Online (Sandbox Code Playgroud)

我不知道 OpenSSL 1.0.1e-fips 2013 年 2 月 11 日是否与上述输出相关，其中 openssl 版本 -a 报告是 OpenSSL 1.0.1e-fips 2013 年 2 月 11 日，但在 8 日修补，用于心脏出血，或者是否易受攻击。

在同一台服务器上，我正在运行 Tomcat 和 GlassFish，但即使关闭了这些，服务器也会标记为易受攻击。有任何想法吗？预先感谢您的任何建议。

Answer 1

spu*_*der 6

您可能仍有一个正在使用旧库的进程。

你可以像这样测试它：

grep 'libssl.*(deleted)' /proc/*/maps

Run Code Online (Sandbox Code Playgroud)

您也可以弹跳整个系统。

https://unix.stackexchange.com/questions/123711/how-do-i-recover-from-the-heartbleed-bug-in-openssl

归档时间：	11 年，5 月前
查看次数：	3716 次
最近记录：	11 年，5 月前