Mam serwer Ubuntu 12.04. Zaktualizowałem OpenSSL
pakiet, aby naprawić lukę w zabezpieczeniach. Ale nadal jestem podatny na zagrożenia, nawet jeśli zrestartowałem serwer WWW, a nawet cały serwer.
Aby sprawdzić moją podatność wykorzystałem:
dpkg daje:
dpkg -l |grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)
openssl version -a
?Odpowiedzi:
Upewnij się, że
libssl1.0.0
pakiet również został zaktualizowany (pakiet zawiera rzeczywistą bibliotekę,openssl
pakiet zawiera narzędzia) oraz że wszystkie usługi korzystające z biblioteki zostały ponownie uruchomione po aktualizacji.Musisz ponownie uruchomić wszystkie usługi za pomocą openssl (restart apache usługi).
źródło
Jest możliwe, że jesteś fałszywy pozytywny przypadek, za w FAQ :
Możesz przetestować swoją witrynę za pomocą innego narzędzia, takiego jak SSLLabs , i sprawdzić, czy nadal jesteś zgłaszany jako podatny na atak.
Powinieneś również zgłosić problem z testerem http://filippo.io/Heartbleed, jak opisano powyżej.
źródło
Jeśli akurat używasz mod_spdy, upewnij się, że zaktualizowałeś instalację mod_spdy. Szczegółowe informacje można znaleźć na stronie https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU . Musisz zaktualizować deb mod_spdy lub całkowicie usunąć poprzednią wersję.
źródło
Prawdopodobnie masz program nasłuchujący na 443, który ma statycznie połączoną bibliotekę openssl. Oznacza to, że program ma swój własny pakiet openssl - zaktualizuj również ten program! Jeśli ktoś nie jest dostępny, natychmiast powiadom sprzedawcę i jeśli to możliwe, zawieś tę aplikację!
źródło
Możliwe, że występuje błąd wymieniony na stronie FAQ . Wygląda na to, że w pewnych okolicznościach możesz otrzymać powiadomienie o zagrożeniu, nawet w systemie z łatkami.
Sugeruję przetestowanie za pomocą alternatywnego testu, takiego jak Qualys, aby potwierdzić, że twój system nie jest już podatny na ataki. Jeśli nie, udaj się do Github i zgłoś to.
Nadal jest zepsuty
Co jest? „Serwer”, o którym mówisz, może mieć statycznie połączoną bibliotekę OpenSSl. Oznacza to, że mimo aktualizacji systemu Twoja aplikacja jest nadal zagrożona! Musisz natychmiast porozmawiać z dostawcą oprogramowania, aby uzyskać poprawkę lub wyłączyć usługę, dopóki tego nie zrobisz.
Czy naprawdę muszę wyłączyć usługę, dopóki łatka nie zostanie wydana?
Tak, prowadzenie podatnej na ataki usługi jest wyjątkowo niebezpieczne do tego stopnia, że może być zaniedbany! Możliwe, że wyciekają jakiekolwiek dane, które serwer odszyfrowuje z transportu, a nawet o tym nie wiedzą!
źródło
Upewnij się, że twój nginx korzysta z biblioteki systemowej: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/
źródło
Jest to bardzo możliwe, jeśli aplikacja działająca na 443 używa biblioteki statycznej dla OpenSSL. W takim przypadku musisz zaktualizować tę aplikację, aby nie była już podatna na ataki.
źródło
W końcu udało mi się naprawić mój problem podobny do OP. Mój serwer to stos LAMP od Bitnami. Postępując zgodnie z tymi instrukcjami:
http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9
źródło