根据建议openssl.org我正在尝试将 OpenSSL 从 1.0.1e 更新到 1.0.1g。大多数 Linux 发行版的修复程序已经部署,但是,在 Windows 上应该怎么做?我们使用的是 Win Server 2003 x64;OpenSSL 1.0.1e 是使用 Shining Light Productions 网站上的“Win64 OpenSSL v1.0.1g”安装程序安装的(http://slproweb.com/products/Win32OpenSSL.html)。1.0.1g 安装程序可从 Shining Light 人员处获得,但这是一个完整安装程序,而不是更新。我不想搞砸我们的 SSL 证书配置,而且我真的不知道应该替换/编辑哪些二进制文件/文件以及在哪里可以找到它们。提前感谢您的帮助,任何信息都将不胜感激。
更新: 感谢 Ryan 的建议,Shining Light 的 Thomas Hruska 花时间回复了我的电子邮件:
“1.0.1e 与 1.0.1g 二进制兼容。只需确保在安装前停止 Web 服务器,以避免覆盖正在使用的文件的问题,在更新 OpenSSL 后,您无论如何都必须这样做。”
答案1
根据此页面,该缺陷已在最新版本(1.0.1g)中修复:http://www.pcworld.com/article/2140920/heartbleed-bug-in-openssl-puts-encrypted-communications-at-risk.html
(当然,这可能是错的 - 如果你声称已经安装了它,你是什么时候安装的?我知道它已经过时了,但他们可能在下载页面上更新了该版本以包含修复程序,而不会增加任何版本号。)