我正在寻找一种可靠且可移植的方法来检查 GNU/Linux 和其他系统上的 OpenSSL 版本,以便用户可以轻松地发现他们是否应该因为 Heartbleed 错误而升级他们的 SSL。
我认为这很容易,但我很快在使用最新的 OpenSSL 1.0.1g 的 Ubuntu 12.04 LTS 上遇到了问题:
openssl 版本 -a
我期待看到一个完整的版本,但我得到了这个:
OpenSSL 1.0.1 2012 年 3 月 14 日 建立时间:2013 年 6 月 4 日星期二 07:26:06 UTC 平台: [...]
令我不快的是,版本字母没有显示。没有 f,没有 g,只有“1.0.1”,就是这样。列出的日期也无助于发现(非)易受攻击的版本。
1.0.1 (af) 和 1.0.1g 之间的差异至关重要。
问题:
其他人也报告了这种行为。几个例子:
一些(特定于发行版的)建议正在推出:
apt-cache policy openssl和apt-cache policy libssl1.0.0. 将版本号与此处的软件包进行比较:http : //www.ubuntu.com/usn/usn-2165-1/yum info openssl感谢 Twitter 上的 …OpenSSL 'heartbleed' 漏洞 ( CVE-2014-0160 ) 影响服务 HTTPS 的网络服务器。其他服务也使用 OpenSSL。这些服务是否也容易受到类似心脏出血的数据泄漏的影响?
我特别想
至少在我的系统上,所有这些都链接到 OpenSSL 库。
我知道 13.04 受到影响(或至少我的安装受到影响),因为当前安装的 OpenSSL 版本。然而,运行后
sudo apt-get update
sudo apt-get upgrade
我检查了我的 OpenSSL 版本,它仍然是一个未打补丁的版本。
我还检查了http://www.ubuntu.com/usn/usn-2165-1/并且 13.04 未列出。我该怎么做才能在我的机器上修补 OpenSSL?
我已经用补丁更新了我的服务器。
我是否需要重新生成与 OpenSSH 相关的任何私钥?我知道我必须重新生成任何 SSL 证书。
编辑:我说得不够准确。我知道该漏洞存在于 openssl 中,但我在问这对 openssh 有何影响,以及我是否需要重新生成 openssh 主机密钥。
欢迎来到心血来潮之后的世界。我们已经修补了我们的服务器并正在更换我们的 SSL 证书。但仅仅因为我们的服务器是固定的,并不意味着互联网的其余部分是固定的。我们有员工,他们使用互联网交换信用卡号和登录凭据等机密。他们正在向我们寻求建议。
我们可以建议我们的客户使用Heartbleed 测试页面来查看他们想要访问的站点是否存在漏洞。如果一个站点返回正面,则不要与其交换机密。但是,如果一个网站没有不对Heartnet返回正数,然后根据情况可以是任意的:
有没有什么办法,我们可以给我们的员工,他们输入他们的信用卡号码前到表单,告诉良好的从场景坏的呢?
我们如何指导我们的员工尽量减少他们接触受 Heartbleed 破坏的服务器的风险?
尝试确定在针对 Heartbleed修补 openssl后应该重新启动哪些服务。至少有一篇帖子提到重新启动:
sshd, apache, nginx, postfix, dovecot, courier, pure-ftpd, bind, mysql
编辑:这篇文章建议使用:lsof -n | grep ssl | grep DEL显示仍在使用标记为删除的旧版本 OpenSSL 的进程
有谁知道如果服务器的 OpenSSL 已被修补但站点的 SSL 证书尚未重新加密,黑客可能拥有的切入点是什么?
谢谢!
heartbleed ×7
openssl ×4
security ×3
ubuntu ×2
apache-2.2 ×1
linux ×1
nginx ×1
ssh ×1
ssl ×1
ubuntu-13.04 ×1