标签: heartbleed

这是一个关于理解和修复 Heartbleed 安全问题的规范问题。

CVE-2014-0160 又名“心血”究竟是什么？原因是什么，OpenSSL 的哪些操作系统和版本容易受到攻击，症状是什么，有什么方法可以检测成功的漏洞利用吗？

如何检查我的系统是否受到影响？如何缓解此漏洞？我是否应该担心我的密钥或其他私人数据已被泄露？我应该担心哪些其他副作用？

我正在寻找一种可靠且可移植的方法来检查 GNU/Linux 和其他系统上的 OpenSSL 版本，以便用户可以轻松地发现他们是否应该因为 Heartbleed 错误而升级他们的 SSL。

我认为这很容易，但我很快在使用最新的 OpenSSL 1.0.1g 的 Ubuntu 12.04 LTS 上遇到了问题：

openssl 版本 -a

我期待看到一个完整的版本，但我得到了这个：

OpenSSL 1.0.1 2012 年 3 月 14 日
建立时间：2013 年 6 月 4 日星期二 07:26:06 UTC
平台： [...]

令我不快的是，版本字母没有显示。没有 f，没有 g，只有“1.0.1”，就是这样。列出的日期也无助于发现（非）易受攻击的版本。

1.0.1 (af) 和 1.0.1g 之间的差异至关重要。

问题：

• 检查版本的可靠方法是什么，最好是跨发行版？
• 为什么不首先显示版本号？除了 Ubuntu 12.04 LTS 之外，我无法在其他任何设备上进行测试。

其他人也报告了这种行为。几个例子：

• https://twitter.com/orblivion/status/453323034955223040
• https://twitter.com/axiomsofchoice/status/453309436816535554

一些（特定于发行版的）建议正在推出：

• Ubuntu 和 Debian：apt-cache policy openssl和apt-cache policy libssl1.0.0. 将版本号与此处的软件包进行比较：http : //www.ubuntu.com/usn/usn-2165-1/
• Fedora 20：（yum info openssl感谢 Twitter 上的 …

OpenSSL 'heartbleed' 漏洞 ( CVE-2014-0160 ) 影响服务 HTTPS 的网络服务器。其他服务也使用 OpenSSL。这些服务是否也容易受到类似心脏出血的数据泄漏的影响？

我特别想

• sshd
• 安全 SMTP、IMAP 等——dovecot、exim 和 postfix
• VPN 服务器——openvpn 和朋友

至少在我的系统上，所有这些都链接到 OpenSSL 库。

我有一个 Ubuntu 12.04 服务器。我已经更新了OpenSSL软件包以修复 heartbleed 漏洞。但即使我重新启动了 Web 服务器，甚至整个服务器，我仍然很容易受到攻击。

为了检查我的漏洞，我使用了：

• http://www.exploit-db.com/exploits/32745/
• http://filippo.io/Heartbleed

dpkg 给出：

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

最近发现的 Heartbleed 漏洞促使证书颁发机构重新颁发证书。

我有两个证书是在发现 heartbleed 漏洞之前生成的。在 SSL 颁发者告诉我重新生成证书后，我用新证书更新了我的服务器/域。

如果我的理解是正确的，那么旧证书应该已被 CA 吊销，并且应该已将其添加到 CRL（证书吊销列表）或 OCSP 数据库（在线证书状态协议）中，否则技术上可能有人执行“中间人攻击”，通过从受损证书中获取的信息重新生成证书。

有没有办法检查我的旧证书是否已通过 CRL 和 OCSP。如果他们还没有，有没有办法让他们包括在内？

更新：情况是我已经替换了我的证书，我所拥有的只是旧证书的 .crt 文件，因此使用 url 进行检查是不可能的。

Heartbleed OpenSSL 漏洞 ( http://heartbleed.com/ ) 影响 OpenSSL 1.0.1 到 1.0.1f（含）

我使用 Amazon Elastic Load Balancer 终止我的 SSL 连接。ELB 易受攻击吗？

我知道 13.04 受到影响（或至少我的安装受到影响），因为当前安装的 OpenSSL 版本。然而，运行后

sudo apt-get update
sudo apt-get upgrade

我检查了我的 OpenSSL 版本，它仍然是一个未打补丁的版本。

我还检查了http://www.ubuntu.com/usn/usn-2165-1/并且 13.04 未列出。我该怎么做才能在我的机器上修补 OpenSSL？

我已经用补丁更新了我的服务器。

我是否需要重新生成与 OpenSSH 相关的任何私钥？我知道我必须重新生成任何 SSL 证书。

编辑：我说得不够准确。我知道该漏洞存在于 openssl 中，但我在问这对 openssh 有何影响，以及我是否需要重新生成 openssh 主机密钥。

欢迎来到心血来潮之后的世界。我们已经修补了我们的服务器并正在更换我们的 SSL 证书。但仅仅因为我们的服务器是固定的，并不意味着互联网的其余部分是固定的。我们有员工，他们使用互联网交换信用卡号和登录凭据等机密。他们正在向我们寻求建议。

我们可以建议我们的客户使用Heartbleed 测试页面来查看他们想要访问的站点是否存在漏洞。如果一个站点返回正面，则不要与其交换机密。但是，如果一个网站没有不对Heartnet返回正数，然后根据情况可以是任意的：

• 该站点从未有漏洞（好）
• 该站点存在漏洞并已修复，但仍在使用可能已损坏的 SSL 证书（错误）
• 该站点存在漏洞并已修复，并重新生成 SSL 证书但没有重新生成密钥（坏）
• 该站点存在漏洞，修复了它，重新生成了密钥，并更换了 SSL 证书。（好的）

有没有什么办法，我们可以给我们的员工，他们输入他们的信用卡号码前到表单，告诉良好的从场景坏的呢？

我们如何指导我们的员工尽量减少他们接触受 Heartbleed 破坏的服务器的风险？

我想在我为团队 Web 安全挑战设置的服务器上编译并安装 Heartbleed 易受攻击的 OpenSSL 版本（因为显而易见的原因，这些版本无法从 Ubuntu 的存储库安装）。

我使用提供的指令（运行./config、然后make和make install）从源 OpenSSL 1.0.1f 下载并编译，并尝试从我的 PC上运行来自 GitHub的公开可用的 Heartbleed POC ，但是脚本通知我没有收到心跳响应，并且服务器可能不易受到攻击。

运行openssl version产生以下输出：OpenSSL 1.0.1f 6 Jan 2014。我当然安装了 SSL 证书，并且 SSL 访问在服务器上工作。

安装 OpenSSL 以与 Apache 2.4.7 一起使用。

任何人都可以帮忙吗？