我正在运行 Ubuntu 12.04 服务器,我刚刚更新了服务器(然后重新启动)
sudo apt-get dist-upgrade
现在公开的 SSL 版本显示,它是在 2014 年 4 月 7 日构建的,这很好,但版本似乎是 1.0.1e,这很容易受到攻击。那么哪个是正确的,日期还是版本信息?
答案1
Ubuntu 将修复程序反向移植到 1.0.1e,而不是切换到新版本。请参阅zless /usr/share/doc/openssl/changelog.Debian.gz
了解详情。
但是,您还必须重新启动受影响的服务(在启动时加载旧版本),否则它们仍然会受到攻击。
答案2
$ sudo apt-get changelog openssl | grep CVE-2014-0160
- debian/patches/CVE-2014-0160.patch: use correct lengths in
- CVE-2014-0160
这将显示您是否拥有修补版本。
答案3
升级 OPENSSL 还远远不够。
我至少会给你推荐一些但并不详尽的东西:
- 像你一样将 OPENSSL 升级到安全版本
- 让你们这些骗子更改所有密码,他们可能已经被破解了
- 更改所有 SSL 证书。
更详细的答案可以在这里找到:Heartbleed:它是什么?有哪些方法可以缓解它? 要检查你的 OPENSSL 版本是否在任何基于 Debian 的发行版上不存在漏洞,你可以执行以下操作:
apt-get update && apt-get install openssl
如果你获得
openssl is already the newest version.
那么你就不成问题了。所有主流 Linux 和 BSD 发行版都很快包含了 OpenSSL 的安全版本。
截至今天,预期产出如下:
# openssl version -a
OpenSSL 1.0.1e 11 Feb 2013
built on: Thu Apr 17 20:54:07 UTC 2014