Mam serwer Ubuntu 12.04. Zaktualizowałem OpenSSLpakiet, aby naprawić lukę w zabezpieczeniach. Ale nadal jestem podatny na zagrożenia, nawet jeśli zrestartowałem serwer WWW, a nawet cały serwer.

Aby sprawdzić moją podatność wykorzystałem:

• http://www.exploit-db.com/exploits/32745/
• http://filippo.io/Heartbleed

dpkg daje:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

Upewnij się, że libssl1.0.0pakiet również został zaktualizowany (pakiet zawiera rzeczywistą bibliotekę, opensslpakiet zawiera narzędzia) oraz że wszystkie usługi korzystające z biblioteki zostały ponownie uruchomione po aktualizacji.

Musisz ponownie uruchomić wszystkie usługi za pomocą openssl (restart apache usługi).

Jest możliwe, że jesteś fałszywy pozytywny przypadek, za w FAQ :

Dostaję fałszywe alarmy (czerwony)!

Bądź ostrożny, chyba że zgrzytnąłeś stroną uderzającą w przycisk, nie ma mowy, że czerwony nie jest czerwony.

Sprawdź zrzut pamięci, jeśli tam jest, to narzędzie skądś je wzięło.

Powiedzmy, że jestem w 99% pewien, że powinieneś wyglądać lepiej, jeśli zrestartowałeś wszystkie procesy po prawidłowej aktualizacji.

Aktualizacja: wciąż otrzymuję konsekwentne raporty o tym, że wersje bez zmian będą czerwone. Jeśli to dotyczy, prosimy o komentarz w tej sprawie . Szukam 3 rzeczy: zrzutów pamięci (aby dowiedzieć się, skąd pochodzą), znaczników czasu (możliwie najdokładniejszych, spróbuj z kartą Sieć), pełnego opisu tego, co kliknąłeś i wpisałeś.

Możesz przetestować swoją witrynę za pomocą innego narzędzia, takiego jak SSLLabs , i sprawdzić, czy nadal jesteś zgłaszany jako podatny na atak.
Powinieneś również zgłosić problem z testerem http://filippo.io/Heartbleed, jak opisano powyżej.

Jeśli akurat używasz mod_spdy, upewnij się, że zaktualizowałeś instalację mod_spdy. Szczegółowe informacje można znaleźć na stronie https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU . Musisz zaktualizować deb mod_spdy lub całkowicie usunąć poprzednią wersję.

Prawdopodobnie masz program nasłuchujący na 443, który ma statycznie połączoną bibliotekę openssl. Oznacza to, że program ma swój własny pakiet openssl - zaktualizuj również ten program! Jeśli ktoś nie jest dostępny, natychmiast powiadom sprzedawcę i jeśli to możliwe, zawieś tę aplikację!

Możliwe, że występuje błąd wymieniony na stronie FAQ . Wygląda na to, że w pewnych okolicznościach możesz otrzymać powiadomienie o zagrożeniu, nawet w systemie z łatkami.

Dostaję fałszywe alarmy (czerwony)!

Bądź ostrożny, chyba że zgrzytnąłeś stroną uderzającą w przycisk, nie ma mowy, że czerwony nie jest czerwony. Sprawdź zrzut pamięci, jeśli tam jest, to narzędzie skądś je wzięło. Powiedzmy, że jestem w 99% pewien, że powinieneś wyglądać lepiej, jeśli zrestartowałeś wszystkie procesy po prawidłowej aktualizacji.

Aktualizacja: wciąż otrzymuję konsekwentne raporty o tym, że wersje bez zmian będą czerwone. Jeśli to dotyczy, prosimy o komentarz w tej sprawie. Szukam 3 rzeczy: zrzutów pamięci (aby dowiedzieć się, skąd pochodzą), znaczników czasu (możliwie najdokładniejszych, spróbuj z zakładką Sieć), pełnego opisu tego, co kliknąłeś i wpisałeś.

Sugeruję przetestowanie za pomocą alternatywnego testu, takiego jak Qualys, aby potwierdzić, że twój system nie jest już podatny na ataki. Jeśli nie, udaj się do Github i zgłoś to.

Nadal jest zepsuty

Co jest? „Serwer”, o którym mówisz, może mieć statycznie połączoną bibliotekę OpenSSl. Oznacza to, że mimo aktualizacji systemu Twoja aplikacja jest nadal zagrożona! Musisz natychmiast porozmawiać z dostawcą oprogramowania, aby uzyskać poprawkę lub wyłączyć usługę, dopóki tego nie zrobisz.

Czy naprawdę muszę wyłączyć usługę, dopóki łatka nie zostanie wydana?

Tak, prowadzenie podatnej na ataki usługi jest wyjątkowo niebezpieczne do tego stopnia, że ​​może być zaniedbany! Możliwe, że wyciekają jakiekolwiek dane, które serwer odszyfrowuje z transportu, a nawet o tym nie wiedzą!

Upewnij się, że twój nginx korzysta z biblioteki systemowej: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/

Jest to bardzo możliwe, jeśli aplikacja działająca na 443 używa biblioteki statycznej dla OpenSSL. W takim przypadku musisz zaktualizować tę aplikację, aby nie była już podatna na ataki.

W końcu udało mi się naprawić mój problem podobny do OP. Mój serwer to stos LAMP od Bitnami. Postępując zgodnie z tymi instrukcjami:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9