如何在 Linux 服务器上安装易受攻击的 OpenSSL 版本?

mit*_*nia 9 openssl heartbleed

我想在我为团队 Web 安全挑战设置的服务器上编译并安装 Heartbleed 易受攻击的 OpenSSL 版本(因为显而易见的原因,这些版本无法从 Ubuntu 的存储库安装)。

我使用提供的指令(运行./config、然后makemake install)从源 OpenSSL 1.0.1f 下载并编译,并尝试从我的 PC运行来自 GitHub的公开可用的 Heartbleed POC ,但是脚本通知我没有收到心跳响应,并且服务器可能不易受到攻击。

运行openssl version产生以下输出:OpenSSL 1.0.1f 6 Jan 2014。我当然安装了 SSL 证书,并且 SSL 访问在服务器上工作。

安装 OpenSSL 以与 Apache 2.4.7 一起使用。

任何人都可以帮忙吗?

Sha*_*den 7

正在使用什么服务器软件?

尽管 OpenSSL 二进制文件易受攻击,但来自 OS 包的已安装 Web 服务器可能正在使用不易受攻击的库版本。

让易受攻击的侦听器运行的最简单方法是openssl s_server- 如果您需要一个完整的 Web 服务器才能受到攻击,您可能需要针对易受攻击的 OpenSSL 进行编译。


Mar*_*ark 7

这里可能会发生两件事:

  1. 一个简单的“./configure; make; make install”默认会将共享库放在/usr/local/lib. 但是,系统安装的库将在 中/usr/lib,它位于库搜索路径的较早位置。除非您删除系统安装的 OpenSSL 版本,否则不会找到易受攻击的版本。

  2. 即使您覆盖了系统库,在您重新启动 Apache 之前,更改也不会生效。删除的文件仍然可以访问(并占用磁盘空间),直到所有具有打开文件句柄的程序关闭这些文件句柄。