我有一台 Ubuntu 12.04 服务器。我已经更新了软件包OpenSSL
以修复 heartbleed 漏洞。但即使我重新启动了 Web 服务器,甚至整个服务器,我仍然容易受到攻击。
为了检查我的漏洞,我使用了:
dpkg 给出:
dpkg -l |grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)
答案1
确保libssl1.0.0
软件包也已更新(该软件包包含实际的库,该openssl
软件包包含工具)并且升级后所有使用该库的服务都已重新启动。
您必须使用 openssl (service apache restart) 重新启动所有服务。
答案2
它是可能的根据常问问题:
我得到了误报(红色)!
小心一点,除非你敲击按钮导致网站出现故障,否则我不可能认为红色不是红色。
检查内存转储,如果存在则表明该工具是从某处获取它的。
假设我有 99% 的确定,如果您在正确更新后重新启动所有进程,您的情况会看起来更好。
更新:尽管如此,我还是不断收到未受影响版本变红的报告。请来对问题发表评论如果您受到影响。我正在寻找 3 件事:内存转储(找出它们的来源)、时间戳(尽可能准确,尝试使用“网络”选项卡)、您单击和键入内容的完整描述。
您可以使用其他工具来测试您的网站SSL实验室,看看您是否仍被报告为易受攻击。
您还应该向http://filippo.io/Heartbleed如上所述的测试仪。
答案3
如果你正在运行 mod_spdy,请确保更新你的 mod_spdy 安装。请参阅https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU了解详情。您需要升级 mod_spdy deb 或完全删除以前的版本。
答案4
您可能遇到了常问问题页面。看来,在某些情况下,即使在已修补的系统上,您仍会收到易受攻击的通知。
我得到了误报(红色)!
小心,除非你敲击按钮时网站出了问题,否则我绝对想不出红色不是红色。检查内存转储,如果存在,则该工具从某个地方获取了它。假设我 99% 确定,如果你在正确更新后重新启动所有进程,你的界面应该会更好看。
更新:尽管如此,我还是不断收到未受影响版本变红的报告。如果您受到影响,请对此问题发表评论。我正在寻找三件事:内存转储(找出它们的来源)、时间戳(尽可能准确,尝试使用“网络”选项卡)、您单击和键入内容的完整描述。
我建议用其他测试来测试,例如Qualys确认您的系统不再存在漏洞。如果没有,请转到Github并报告。
它仍然坏了
什么是?您提到的“服务器”可能有一个静态链接的 OpenSSl 库。这意味着即使您更新了系统,您的应用程序仍然处于危险之中!您需要立即与软件供应商联系以获取补丁或关闭服务,直到您这样做为止。
我是否真的必须禁用该服务直至补丁发布?
是的,运行易受攻击的服务极其危险,甚至可能疏忽大意!您可能会泄露服务器从传输中解密的任何数据,甚至不知道这一点!