Ich habe einen Ubuntu 12.04 Server. Ich habe das OpenSSLPaket aktualisiert , um die Heartbleed-Sicherheitsanfälligkeit zu beheben. Aber ich bin immer noch verwundbar, obwohl ich den Webserver und sogar den gesamten Server neu gestartet habe.

Um meine Schwachstelle zu überprüfen, habe ich Folgendes verwendet:

• http://www.exploit-db.com/exploits/32745/
• http://filippo.io/Heartbleed

dpkg gibt:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

Stellen Sie sicher, dass das libssl1.0.0Paket ebenfalls aktualisiert wurde (dieses Paket enthält die eigentliche Bibliothek, das opensslPaket enthält die Tools) und dass alle Dienste, die die Bibliothek verwenden, nach dem Upgrade neu gestartet wurden.

Sie müssen alle Dienste mit openssl (service apache restart) neu starten.

Es ist möglich, dass Sie ein falsch positiver Fall sind, laut FAQ :

Ich bekomme False Positives (rot)!

Seien Sie vorsichtig, es sei denn, Sie haben einen Fehler gemacht, indem Sie auf die Schaltfläche geklopft haben. Ich kann mir nicht vorstellen, dass ein Rot kein Rot ist.

Überprüfen Sie den Speicherauszug. Wenn er dort ist, hat das Tool ihn von irgendwoher abgerufen.

Angenommen, ich bin zu 99% sicher, dass Sie besser aussehen sollten, wenn Sie alle Prozesse nach der korrekten Aktualisierung neu gestartet haben.

Update: Trotzdem erhalte ich durchgehend Berichte über nicht betroffene Versionen, die rot werden. Bitte kommentieren Sie das Problem, wenn Sie betroffen sind. Ich suche nach 3 Dingen: Speicherabbildern (um herauszufinden, woher sie stammen), Zeitstempeln (so genau wie möglich, versuchen Sie es mit der Registerkarte Netzwerk), einer vollständigen Beschreibung dessen, was Sie angeklickt und eingegeben haben.

Sie können Ihre Site mit einem anderen Tool wie SSLLabs testen und feststellen , ob Sie immer noch als anfällig gemeldet werden.
Sie sollten das Problem auch mit dem http://filippo.io/Heartbleed-Tester wie oben beschrieben melden .

Wenn Sie mod_spdy ausführen, müssen Sie Ihre mod_spdy-Installation aktualisieren. Weitere Informationen finden Sie unter https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU . Sie müssen entweder das mod_spdy-deb aktualisieren oder die vorherige Version vollständig entfernen.

Sie haben wahrscheinlich ein Programm, das 443 mit einer statisch verknüpften openssl-Bibliothek abhört. Dies bedeutet, dass das Programm über ein eigenes OpenSL-Paket verfügt - aktualisieren Sie auch dieses Programm! Ist dies nicht der Fall, benachrichtigen Sie sofort den Verkäufer und setzen Sie die Anwendung aus, wenn dies möglich ist!

Möglicherweise tritt der auf der FAQ- Seite aufgeführte Fehler auf . Es scheint, dass Sie unter bestimmten Umständen auch auf einem gepatchten System eine verwundbare Benachrichtigung erhalten können.

Ich bekomme False Positives (rot)!

Seien Sie vorsichtig, es sei denn, Sie haben einen Fehler gemacht, indem Sie auf die Schaltfläche geklopft haben. Ich kann mir nicht vorstellen, dass ein Rot kein Rot ist. Überprüfen Sie den Speicherauszug. Wenn er dort ist, hat das Tool ihn von irgendwoher abgerufen. Angenommen, ich bin zu 99% sicher, dass Sie besser aussehen sollten, wenn Sie alle Prozesse nach der korrekten Aktualisierung neu gestartet haben.

Update: Trotzdem erhalte ich durchgehend Berichte über nicht betroffene Versionen, die rot werden. Bitte kommentieren Sie das Problem, wenn Sie betroffen sind. Ich suche nach 3 Dingen: Speicherabbildern (um herauszufinden, woher sie stammen), Zeitstempeln (so genau wie möglich, versuchen Sie es mit der Registerkarte Netzwerk), einer vollständigen Beschreibung dessen, was Sie angeklickt und eingegeben haben.

Ich würde empfehlen, mit einem alternativen Test wie Qualys zu testen, um sicherzustellen , dass Ihr System nicht mehr anfällig ist. Wenn es nicht bei Github ist, melde es.

Es ist immer noch kaputt

Was ist? Der "Server", über den Sie sprechen, verfügt möglicherweise über eine statisch verknüpfte OpenSSl-Bibliothek. Obwohl Sie Ihr System aktualisiert haben, ist Ihre Anwendung dennoch gefährdet! Sie müssen sofort mit dem Softwarehersteller sprechen, um einen Patch zu erhalten, oder den Dienst deaktivieren, bis Sie dies tun.

Muss ich den Dienst wirklich deaktivieren, bis der Patch veröffentlicht ist?

Ja, die Ausführung eines anfälligen Dienstes ist bis zur möglichen Nachlässigkeit äußerst gefährlich! Sie könnten Daten verlieren, die der Server vom Transport entschlüsselt und die Sie nicht einmal kennen!

Stellen Sie sicher, dass Ihr Nginx die Systembibliothek verwendet: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/

Dies ist sehr gut möglich, wenn die auf 443 ausgeführte Anwendung eine statische Bibliothek für OpenSSL verwendet. In diesem Fall müssen Sie diese Anwendung aktualisieren , um nicht mehr anfällig zu sein.

Endlich konnte ich mein OP-ähnliches Problem beheben. Mein Server ist ein LAMP-Stack von Bitnami. Befolgen Sie diese Anweisungen:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9