Co powinienem zrobić z błędem Heartbleed dla stron, które prowadzę?

9

Niedawno ogłoszony błąd Heartbleed w OpenSSL dotyczy wielu witryn (70% Internetu).

Jest strona internetowa:

http://www.heartbleed.com

Istnieje test internetowy:

http://filippo.io/Heartbleed/

Co powinienem zrobić, aby chronić witryny, które prowadzę?

openssl heartbleed Matt Cruikshank
źródło
6
Lepiej odpowiedz na błąd serwera - Heartbleed: co to jest i jakie są opcje, aby go naprawić?
Sathyajith Bhat
5
… A także StackExchange dla specjalistów ds. Bezpieczeństwa. Zobacz security.stackexchange.com/questions/55076 i security.stackexchange.com/questions/tagged/heartbleed .
JdeBP
4
Każda ważna strona związana z komputerami SE ma teraz to pytanie ... Prawdopodobnie wkrótce zostanie zadane nawet na cooking.stackexchange.com : D
VL-80
Dodałem wersję tego pytania dla użytkownika końcowego na stronie superuser.com/questions/739260/... (ale ktoś już to ocenił, bez wyjaśnienia).
danorton
1
@Nikolay, teraz mam wielką ochotę zapytać o gotowanie.se ...
Joe

Odpowiedzi:

7

Powinieneś:

  • Zaktualizuj system do najnowszej wersji OpenSSL
  • Wygeneruj nowe klucze i certyfikaty dla usług opartych na OpenSSL i zrestartuj je
  • Odwołaj poprzednie certyfikaty
  • Unieważnij wszystkie ustanowione sesje
Executifs
źródło
Nie sądzę, że znasz jakieś dobre jasne instrukcje dotyczące ostatnich trzech kroków, prawda?
Paul D. Waite,
Odwołanie i zregenerowanie certyfikatów produkcyjnych zwykle wiąże się z dowolnym procesem stosowanym przez urząd certyfikacji. Ponieważ różni się w zależności od CA ...
Roger Lipscombe
Sposób aktualizacji systemu zależy od menedżera pakietów. Sesje unieważniania zależą od aplikacji. Co do certyfikatów, musisz skontaktować się z CA ale pierwszym krokiem powinno być, aby wygenerować nowy klucz i CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
Executifs,
4

Skradzione z komentarza reddit.

  1. Zaktualizuj swój system:

    sudo apt-get update
sudo apt-get upgrade

  2. Uruchom ponownie serwer

  3. openssl version -a aby upewnić się, że masz najnowszą wersję !!

Matt Cruikshank
źródło
OP dostarcza!
Jestem John Galt,
1
@IJJohnGalt To nie jest tak, że jest to zamknięty sejf czy coś takiego. ;)
ᴇcʜιᴇ007
14
To nie wystarcza. Klucze SSL należy wymienić, ale bez tego łatka nadal naraża cię na kradzież kluczy w przeszłości.
Kyeotic,
Zakłada się, że system używa apt-getjako menedżera pakietów. Pytanie nie sugeruje, że tak właśnie jest.
Michael
0

W szczególności dla Ubuntu lub ogólnie Debiana

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Zobacz http://www.ubuntu.com/usn/usn-2165-1/

rleir
źródło