我正在阅读 OpenSSL 手册,以下是我在那里看到的内容
openssl 版本 OpenSSL 1.0.1 2012 年 3 月 14 日
这是我的 Ubuntu 14.04 服务器版本
openssl 版本 OpenSSL 0.9.8w 2012 年 4 月 23 日
三月不是比四月早吗?
以下是我在 heart bleed 网站上找到的内容:
OpenSSL 的哪些版本受到影响?
不同版本状态:
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable OpenSSL 1.0.1g is NOT vulnerable OpenSSL 1.0.0 branch is NOT vulnerable OpenSSL 0.9.8 branch is NOT vulnerable
该漏洞于 2011 年 12 月出现在 OpenSSL 中,并从 2012 年 3 月 14 日 OpenSSL 版本 1.0.1 开始被广泛传播。2014 年 4 月 7 日发布的 OpenSSL 1.0.1g 修复了该漏洞。
答案1
从https://www.openssl.org/news/vulnerabilities.html
CVE-2014-0160(OpenSSL 公告)2014 年 4 月 7 日:处理 TLS 心跳扩展时缺少边界检查,可用于向连接的客户端或服务器泄露最多 64kB 的内存(又名 Heartbleed)。此问题不影响 1.0.1 之前的 OpenSSL 版本。由 Neel Mehta 报告。已在 OpenSSL 1.0.1g 中修复(影响 1.0.1f、1.0.1e、1.0.1d、1.0.1c、1.0.1b、1.0.1a、1.0.1)
我相信这是不言自明的。
答案2
看来您的 0.9.8 版本是在 1.0.1 首次发布后修补的,但实际上可以追溯到 2005 年 7 月 5 日。主要版本会进一步开发,但您的版本大概是针对发现的安全漏洞进行了修补。
为了清楚起见:
0.9.8 July 205
1.0.1 14 Mar 2012
0.9.8w 23 Apr 2012
您的版本太旧了,可能会受到 Heartbleed 攻击,请根据需要进行检查和升级(.8zh 是最新版本)