Der Heartbleed-Fehler ist eine Sicherheitslücke in der TLS-Implementierung von OpenSSL. Die CVE-ID für dieses Problem lautet CVE-2014-0160
Dies ist eine kanonische Frage zum Verständnis und zur Behebung des Heartbleed-Sicherheitsproblems. Was genau ist CVE-2014-0160 AKA "Heartbleed"? Was ist die Ursache, welche Betriebssysteme und Versionen von OpenSSL sind anfällig, was sind die Symptome, gibt es Methoden, um einen erfolgreichen...
Ich suchte nach einer zuverlässigen und portablen Möglichkeit, die OpenSSL-Version unter GNU / Linux und anderen Systemen zu überprüfen, damit Benutzer aufgrund des Heartbleed-Fehlers leicht feststellen können, ob sie ihr SSL aktualisieren sollten. Ich dachte, es wäre einfach, aber ich stieß auf...
Die OpenSSL-Sicherheitsanfälligkeit "Heartbleed" ( CVE-2014-0160 ) betrifft Webserver, die HTTPS bereitstellen . Andere Dienste verwenden ebenfalls OpenSSL. Sind diese Dienste auch anfällig für Heartbleed-ähnliche Datenlecks? Ich denke insbesondere an sshd sicheres SMTP, IMAP usw. - Dovecot, Exim...
Ich habe einen Ubuntu 12.04 Server. Ich habe das OpenSSLPaket aktualisiert , um die Heartbleed-Sicherheitsanfälligkeit zu beheben. Aber ich bin immer noch verwundbar, obwohl ich den Webserver und sogar den gesamten Server neu gestartet habe. Um meine Schwachstelle zu überprüfen, habe ich Folgendes...
Die kürzliche Entdeckung der Sicherheitsanfälligkeit in Heartbleed hat Zertifizierungsstellen dazu veranlasst, Zertifikate erneut auszustellen. Ich habe zwei Zertifikate, die generiert wurden, bevor die Heartbleed-Sicherheitsanfälligkeit entdeckt wurde. Nachdem der SSL-Aussteller mich...
Die Heartbleed OpenSSL-Schwachstelle ( http://heartbleed.com/ ) betrifft OpenSSL 1.0.1 bis 1.0.1f (einschließlich). Ich verwende Amazon Elastic Load Balancer, um meine SSL-Verbindungen zu beenden. Ist ELB
Ich habe meine Server bereits mit den Patches aktualisiert. Muss ich private Schlüssel in Bezug auf OpenSSH neu generieren? Ich weiß, dass ich alle SSL-Zertifikate neu generieren muss. EDIT: Ich habe das nicht genau genug formuliert. Ich weiß, dass die Sicherheitsanfälligkeit in openssl liegt,...
Ich möchte eine für Heartbleed anfällige OpenSSL-Version auf einem Server kompilieren und installieren, den ich für eine Team-Web-Sicherheitsherausforderung einrichte (da diese aus offensichtlichen Gründen nicht für die Installation im Ubuntu-Repository verfügbar sind). Ich habe OpenSSL 1.0.1f...
Ich habe gerade meinen Debian-Wheezy-Server auf die neueste Version des openssl-Pakets aktualisiert, bei der der Heartbleed-Fehler behoben wurde. Ich unterstütze SSL auf meinem Server, jedoch nur mit einem Snakeoil-Zertifikat. Ich habe mich nur gefragt, ob es tatsächlich Sicherheitsbedenken...
Nach der Heartbleed-Sicherheitsanfälligkeit in openSSL wurden alle SSH-Zertifikate auf unseren Servern erneut ausgestellt und neu installiert. Da wir wahrscheinlich etwas auf einem Server verpasst haben (z. B. Neustart von Apache), überprüfen wir die Server manuell, indem wir in Chrome auf das...