如何修复 CVE-2014-0224 OpenSSL 漏洞？

Question 1

您需要升级服务器上的 OpenSSL 版本。该漏洞存在于软件代码本身中。

你可以在这里阅读更多： http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
或者这里：
http://www.openssl.org/news/secadv_20140605.txt

编辑：重要的文字是：

OpenSSL 0.9.8 SSL/TLS 用户（客户端和/或服务器）应升级至 0.9.8za。OpenSSL
1.0.0 SSL/TLS 用户（客户端和/或服务器）应升级至 1.0.0m。OpenSSL
1.0.1 SSL/TLS 用户（客户端和/或服务器）应升级至 1.0.1h。

Answer

您需要升级服务器上的 OpenSSL 版本。该漏洞存在于软件代码本身中。

你可以在这里阅读更多： http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
或者这里：
http://www.openssl.org/news/secadv_20140605.txt

编辑：重要的文字是：

OpenSSL 0.9.8 SSL/TLS 用户（客户端和/或服务器）应升级至 0.9.8za。OpenSSL
1.0.0 SSL/TLS 用户（客户端和/或服务器）应升级至 1.0.0m。OpenSSL
1.0.1 SSL/TLS 用户（客户端和/或服务器）应升级至 1.0.1h。

Question 2

CVE-2014-0224 需要更新 openssl。

尽管有更强的密码可用，但 RC4 密码适用于 TLS 1.1 或更新的协议。

和

该服务器不支持参考浏览器的前向保密。

仅仅是网络服务器配置问题。

类似这样的事情（假设是 Apache）：

SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'

推荐https://bettercrypto.org/ 应用加密强化。应谨慎判断是否使用 HTTP 严格传输安全 (hsts)，因为它可能会破坏系统并大幅增加服务器负载。从安全角度来看，建议使用。

您的证书可能没有问题，但如果它已与可利用 heartbleed 的 openssl 版本一起使用，则必须更换它（它可能已被破解）。

但是，升级 openssl 和配置 web 服务器需要超级用户权限。如果您使用的是共享主机，除了要求主机公司修复之外，您别无选择。而且他们可能根本不在乎。

Answer