Ich habe einen Ubuntu 12.04 Server. Ich habe das OpenSSL
Paket aktualisiert , um die Heartbleed-Sicherheitsanfälligkeit zu beheben. Aber ich bin immer noch verwundbar, obwohl ich den Webserver und sogar den gesamten Server neu gestartet habe.
Um meine Schwachstelle zu überprüfen, habe ich Folgendes verwendet:
dpkg gibt:
dpkg -l |grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)
openssl version -a
?Antworten:
Stellen Sie sicher, dass das
libssl1.0.0
Paket ebenfalls aktualisiert wurde (dieses Paket enthält die eigentliche Bibliothek, dasopenssl
Paket enthält die Tools) und dass alle Dienste, die die Bibliothek verwenden, nach dem Upgrade neu gestartet wurden.Sie müssen alle Dienste mit openssl (service apache restart) neu starten.
quelle
Es ist möglich, dass Sie ein falsch positiver Fall sind, laut FAQ :
Sie können Ihre Site mit einem anderen Tool wie SSLLabs testen und feststellen , ob Sie immer noch als anfällig gemeldet werden.
Sie sollten das Problem auch mit dem http://filippo.io/Heartbleed-Tester wie oben beschrieben melden .
quelle
Wenn Sie mod_spdy ausführen, müssen Sie Ihre mod_spdy-Installation aktualisieren. Weitere Informationen finden Sie unter https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU . Sie müssen entweder das mod_spdy-deb aktualisieren oder die vorherige Version vollständig entfernen.
quelle
Sie haben wahrscheinlich ein Programm, das 443 mit einer statisch verknüpften openssl-Bibliothek abhört. Dies bedeutet, dass das Programm über ein eigenes OpenSL-Paket verfügt - aktualisieren Sie auch dieses Programm! Ist dies nicht der Fall, benachrichtigen Sie sofort den Verkäufer und setzen Sie die Anwendung aus, wenn dies möglich ist!
quelle
Möglicherweise tritt der auf der FAQ- Seite aufgeführte Fehler auf . Es scheint, dass Sie unter bestimmten Umständen auch auf einem gepatchten System eine verwundbare Benachrichtigung erhalten können.
Ich würde empfehlen, mit einem alternativen Test wie Qualys zu testen, um sicherzustellen , dass Ihr System nicht mehr anfällig ist. Wenn es nicht bei Github ist, melde es.
Es ist immer noch kaputt
Was ist? Der "Server", über den Sie sprechen, verfügt möglicherweise über eine statisch verknüpfte OpenSSl-Bibliothek. Obwohl Sie Ihr System aktualisiert haben, ist Ihre Anwendung dennoch gefährdet! Sie müssen sofort mit dem Softwarehersteller sprechen, um einen Patch zu erhalten, oder den Dienst deaktivieren, bis Sie dies tun.
Muss ich den Dienst wirklich deaktivieren, bis der Patch veröffentlicht ist?
Ja, die Ausführung eines anfälligen Dienstes ist bis zur möglichen Nachlässigkeit äußerst gefährlich! Sie könnten Daten verlieren, die der Server vom Transport entschlüsselt und die Sie nicht einmal kennen!
quelle
Stellen Sie sicher, dass Ihr Nginx die Systembibliothek verwendet: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/
quelle
Dies ist sehr gut möglich, wenn die auf 443 ausgeführte Anwendung eine statische Bibliothek für OpenSSL verwendet. In diesem Fall müssen Sie diese Anwendung aktualisieren , um nicht mehr anfällig zu sein.
quelle
Endlich konnte ich mein OP-ähnliches Problem beheben. Mein Server ist ein LAMP-Stack von Bitnami. Befolgen Sie diese Anweisungen:
http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9
quelle