相关疑难解决方法(0)

这是一个关于理解和修复 Heartbleed 安全问题的规范问题。

CVE-2014-0160 又名“心血”究竟是什么？原因是什么，OpenSSL 的哪些操作系统和版本容易受到攻击，症状是什么，有什么方法可以检测成功的漏洞利用吗？

如何检查我的系统是否受到影响？如何缓解此漏洞？我是否应该担心我的密钥或其他私人数据已被泄露？我应该担心哪些其他副作用？

我正在寻找一种可靠且可移植的方法来检查 GNU/Linux 和其他系统上的 OpenSSL 版本，以便用户可以轻松地发现他们是否应该因为 Heartbleed 错误而升级他们的 SSL。

我认为这很容易，但我很快在使用最新的 OpenSSL 1.0.1g 的 Ubuntu 12.04 LTS 上遇到了问题：

openssl 版本 -a

我期待看到一个完整的版本，但我得到了这个：

OpenSSL 1.0.1 2012 年 3 月 14 日
建立时间：2013 年 6 月 4 日星期二 07:26:06 UTC
平台： [...]

令我不快的是，版本字母没有显示。没有 f，没有 g，只有“1.0.1”，就是这样。列出的日期也无助于发现（非）易受攻击的版本。

1.0.1 (af) 和 1.0.1g 之间的差异至关重要。

问题：

• 检查版本的可靠方法是什么，最好是跨发行版？
• 为什么不首先显示版本号？除了 Ubuntu 12.04 LTS 之外，我无法在其他任何设备上进行测试。

其他人也报告了这种行为。几个例子：

• https://twitter.com/orblivion/status/453323034955223040
• https://twitter.com/axiomsofchoice/status/453309436816535554

一些（特定于发行版的）建议正在推出：

• Ubuntu 和 Debian：apt-cache policy openssl和apt-cache policy libssl1.0.0. 将版本号与此处的软件包进行比较：http : //www.ubuntu.com/usn/usn-2165-1/
• Fedora 20：（yum info openssl感谢 Twitter 上的 …