heartbleed
HeartBleed 和客户端证书
如果用户没有客户端证书,那么设置为需要客户端证书的服务器是否就不会受到 Heartbleed 漏洞的影响? ...
heartbleed
heartbleed
在 CentOS 6.x 上编译 Heartbleed.c 测试器
我已经寻找这个问题的解决方案好几天了,基本上我正在尝试测试我的网络是否存在 heartbleed 漏洞,但我无法在 CentOS 6.x 上编译测试器,任何想法或建议都将非常感谢... 测试人员链接 http://www.exploit-db.com/download/32998 我收到的错误 [root@www ~]# gcc heartbleed.c -o heartbleed -lssl -lssl3 -lcrypto /tmp/cc4cZa2B.o: In function `tls_bind': heartbleed.c:(.text+0...
heartbleed
如何保护 Windows 免受 Heartbleed 攻击
我刚刚修复了 debianwheezy 上的 openssl 版本,并将我的 android 设备从 1.1.1 版本更新,但唯一缺少的是我的 windows-PC。我现在的问题是,windows 7 专业版 64 位到底是如何受到影响的,或者它是否受到影响,我如何才能一次性修复它(就像在 linux 中一样)或者我是否可以只修补单个应用程序?那么,我如何保护我的 windows 免受 heartbleed 的影响。抱歉我的无能,我对协议和互联网安全几乎是个初学者。非常感谢您的回答! ...
heartbleed
Heartbleed 信息
我有一个任务,验证我们公司解决Heartbleed攻击的软件补丁。 现在,我确信我试图利用的软件版本使用了1.0.1eOpenSSL 库,这应该是易受攻击的。但是,我尝试了多个 Heartbleed 测试工具,它们都说响应中有错误,我的应用程序可能没有易受攻击。 在测试过程中,心脏停搏返回的工具: [INFO] Connecting to 10.63.62.79:443 using TLSv1.2 [INFO] Sending ClientHello [INFO] ServerHello received [INFO] Sending Heartbeat [...
heartbleed
如何在 Tomcat 6 安装中获取 OpenSSL 版本
在读完关于 Heartbleed 安全漏洞的文章,我理解检查 Apache Tomcat 正在使用的 OpenSSL 版本是一种很好的做法。 文章中有这样一句话: Tomcat 使用哪个版本的 OpenSSL? Tomcat 启动时,AprLifecycleListener 会记录此信息。例如, 10-Apr-2014 19:25:28.801 INFO [main] org.apache.catalina.core.AprLifecycleListener.init Loaded APR based Apache Tomcat Nat...
heartbleed
如果中间人攻击很少见,那么 Heartbleed 是否真的像所说的那么严重?
我通过安全的无线连接连接到互联网。我很确定没有人在我的 LAN 上对我进行 MITM 攻击。否则,有人使用 Heartbleed 窃取私钥来访问我的数据怎么办?我知道他们可以解密我的通信,但我使用的网站没有 SSL,我输入密码时也输入了密码,而且据我所知,没有人破解过我的任何帐户?如果 MITM 攻击对我来说很少见,为什么会有如此大的安全风险? ...
heartbleed
如何知道某个网站是否容易受到 Heartbleed 漏洞的攻击?
所以,在听到有关 Heartbleed 漏洞的所有讨论后,我想我应该开始更改我的密码。但是,我开始思考,如果某个网站仍然容易受到 Heartbleed 攻击,那么更改我的密码有什么意义呢? 因此,我猜测只有在不再存在漏洞的网站上更改密码才有意义,但我如何确定情况确实如此? ...
heartbleed
Heartbleed 漏洞出现后,我们需要更新 OpenSSL DLL 吗?
我们开发的软件使用 Delphi 中的 Indy 互联网组件套件。Indy 具有 OpenSSL 功能。自从发生 Heartbleed 事件以来,我们一直在考虑是否需要采取行动。 我们随软件分发了 2 个 DLL,分别用于 OpenSSL(Indy 使用):ssleay32.dll和libeay32.dll。 问题:我们是否需要获取并分发这些 DLL 的更新/修复版本?或者是否可以使用 Windows 更新进行修补? 这是使用 Indy 版本 10,并且 DLL 没有任何版本信息,只显示 1.0.0.0 和日期 2010 年 9 月 20 日。 本质...
heartbleed
apt-get upgrade openssl 不会将 Ubuntu 12.04 升级到最新版本
我尝试了以下操作,但无法获取晚于以下日期的构建日期: 2012 年 8 月 21 日星期二 05:18:46 UTC 我已完成以下操作: apt-get dist-upgrade apt-get update apt-get upgrade openssl 和 apt-get purge openssl apt-get install openssl 和 apt-get purge libcrypto1.0.0 apt-get install libcrypto1.0.0 一切似乎都运行正常,但构建日期仍与上面相同。并且http://f...
heartbleed
Heartbleed 威胁:我需要更改很少登录的网站的密码吗?
我有十几个电子邮件帐户,可能有一百个网站和论坛帐户,我不想更改所有密码。 我是否需要更改那些很少登录的网站的密码 - 或者登录信息是否“保存”在浏览器 cookie 中? ...
heartbleed
我是否必须在 usr/local/lib64 中安装 Openssl 1.0.1g 来覆盖 usr/lib64 版本?(CentOS 6.4,heartbleed 问题)
我正在使用 VPS,由于存在 heartbleed 漏洞问题,我需要使用新软件包升级 openssl。 但我是管理服务器的新手,我需要知道我是否做对了: 文件夹 usr/local/lib64 是否会在本地覆盖 usr/lib64? 如果我在这里安装 openssl 1.0.1g 软件包,它会起作用吗? ...
heartbleed
如何区分这两种证书情况?
情况 1(安全): 网站存在 Heartbleed 漏洞,且使用的证书在 2012-10-21 之前无效 网站升级至不受攻击的 OpenSSL 版本 网站重新密钥并重新颁发了证书,其失效日期仍为 2012-10-21 今天,当我检查该网站时,我发现它不容易受到心脏出血攻击,并且使用的证书的有效期为 2012-10-21 情况 2(不安全): 网站存在 Heartbleed 漏洞,且使用的证书在 2012-10-21 之前无效 网站升级至不受攻击的 OpenSSL 版本 今天,当我检查该网站时,我发现它不容易受到心脏出血攻击,并且使用的证书的有效期...
heartbleed
Heartbleed 是否会对过去的 HTTPS 通信造成风险?
Heartbleed 暴露了一种威胁,即易受攻击的计算机内存可能会被暴露。 假设有一位对手可以访问您服务器的所有密文输入和输出(ISP、政府、本地网络对等方)。如果他们可以访问您服务器上以前的 HTTPS 通信(昨天、一年前),现在又可以访问其内存,他们是否能够解密过去的消息? ...
heartbleed
有什么有效的方法可以更改我的 200 多个帐户密码?
我有很多在线帐户、网络服务等——个人和企业——所以显然(?)我使用密码管理器来处理它们。具体来说,我使用 Lastpass,但我的问题适用于任何和所有: 鉴于Heartbleed 问题及相关问题,即使我想更改所有密码(我们难道不应该定期这样做吗??),我怎么才能改这么多密码以有效的方式? 如果我必须单独访问每个服务和站点并手动更改密码,那么显然这将花费一个周末的专门工作......密码安全性很好,但这并不实际。 更新:我刚刚使用了 Lastpass 的“安全挑战”,报告显示我有 274 个网站,安全分数超过 83%。工作中的几个内部网站重复使用相同的密...