我已将我的 Ubuntu 服务器更新为使用 OpenSSL 1.0.1g,当我运行 sudo openssl version -a 时,我得到了 OpenSSL 1.0.1g 7 Apr 2014 构建于:Sat Apr 19 14:15:45 UTC 2014 平台:linux-elf
然而,像https://filippo.io/Heartbleed/仍将我的网站归为 Heartbleed 漏洞。我已经重启了服务器,不知道还能做什么。
有没有办法找到当前正在运行且易受 Hearbleed 安全问题影响的服务?
还有人遇到这个问题吗?
答案1
我能想到一些可能导致这种情况的问题:
- 可能是某种形式的缓存问题,不确定您是否在网站上启用了任何缓存,但我会在那里查看。
- Apache 是基于较旧的 OpenSSL 版本构建的。在这种情况下,您需要重新编译它,或者根据操作系统使用 yum/apt-get 将其删除并重新安装。
- 在对 OpenSSL 进行更改后,您是否记得重新启动 Apache?
如果您提供更多详细信息,我可能会提供进一步的帮助。
答案2
如果您正在运行的服务正在使用易受攻击的 openssl 版本,则 Heartbleed 可能会被利用。
这可能是提供 https 的服务。修复 openssl-stack(如您尝试做的)并验证服务(如您所做的)后,最后一步,在您不再易受攻击后,是将所有涉及的密钥视为已泄露。
即:将它们标记为已受损并获取新的。