RyP*_*eck 7 apache configuration openssl nginx
如果你错过了它 - 在TLS心跳扩展的实现中的OpenSSL漏洞已经进行了轮次.有关更多信息,请参阅http://heartbleed.com/.
其中一个可能的缓解步骤是重新编译OpenSSL,并-DOPENSSL_NO_HEARTBEATS选择禁用易受攻击的扩展.
为什么系统管理员必须重新编译库以禁用扩展?为什么没有配置选项?本来可以更容易地进行短期补救.
我最好的猜测,这是一个高性能的库,作为一个库本质上没有像服务那样的配置文件.通过Apache mod_ssl和Nginx HttpSslModule文档搜索,我没有看到任何允许我通过配置禁用Heartbeat功能的内容.这不应该是一个选择吗?
-编辑-
为了澄清,受影响的每个人都需要撤销和替换受影响的SSL证书.这里的主要问题是该漏洞允许任何人从易受攻击的服务器中提取64 KB的应用程序内存.这可以通过配置选项轻松解决.必须撤销和替换SSL证书是此漏洞的第二个后果,其中包括可能从应用程序内存泄漏的数据类型(用户名,密码,会话信息...)等问题.
-EDIT2-
澄清 - 通过配置我并不是指编译OpenSSL时的配置.我的意思是在Web服务器中进行配置.例如,使用apache mod_ssl,我可以配置一系列影响SSL的选项,例如可用的密码套件.
小智 2
我不知道程序员做出这个决定时的心态,但是是的 - 库不会在一两个明确定义的场景中使用,它会被使用,但是有人编写了 main()称呼它
如果您确实想禁用某个选项,那么在我看来,编译它是最好、最安全的途径。
| 归档时间: |
|
| 查看次数: |
5640 次 |
| 最近记录: |