我有 OpenSSL 1.0.1g 但我的网站仍然存在漏洞?

我有 OpenSSL 1.0.1g 但我的网站仍然存在漏洞?

我已将我的 Ubuntu 服务器更新为使用 OpenSSL 1.0.1g,当我运行 sudo openssl version -a 时,我得到了 OpenSSL 1.0.1g 7 Apr 2014 构建于:Sat Apr 19 14:15:45 UTC 2014 平台:linux-elf

然而,像https://filippo.io/Heartbleed/仍将我的网站归为 Heartbleed 漏洞。我已经重启了服务器,不知道还能做什么。

有没有办法找到当前正在运行且易受 Hearbleed 安全问题影响的服务?

还有人遇到这个问题吗?

答案1

我能想到一些可能导致这种情况的问题:

  1. 可能是某种形式的缓存问题,不确定您是否在网站上启用了任何缓存,但我会在那里查看。
  2. Apache 是基于较旧的 OpenSSL 版本构建的。在这种情况下,您需要重新编译它,或者根据操作系统使用 yum/apt-get 将其删除并重新安装。
  3. 在对 OpenSSL 进行更改后,您是否记得重新启动 Apache?

如果您提供更多详细信息,我可能会提供进一步的帮助。

答案2

如果您正在运行的服务正在使用易受攻击的 openssl 版本,则 Heartbleed 可能会被利用。

这可能是提供 https 的服务。修复 openssl-stack(如您尝试做的)并验证服务(如您所做的)后,最后一步,在您不再易受攻击后,是将所有涉及的密钥视为已泄露。

即:将它们标记为已受损并获取新的。

相关内容