Was soll ich gegen den Heartbleed-Fehler für die Websites tun, die ich betreibe?

9

Der kürzlich angekündigte Heartbleed-Fehler in OpenSSL betrifft viele Websites (70% des Internets).

Es gibt eine Website:

http://www.heartbleed.com

Es gibt einen webbasierten Test:

http://filippo.io/Heartbleed/

Was kann ich tun, um die von mir betriebenen Websites zu schützen?

Matt Cruikshank
quelle
5
… Sowie den StackExchange für Sicherheitsexperten. Sehen security.stackexchange.com/questions/55076 und security.stackexchange.com/questions/tagged/heartbleed .
JdeBP
4
Jede größere SE-Computer-Site hat jetzt diese Frage ... Wahrscheinlich wird sie bald auch noch gestellt cooking.stackexchange.com : D
VL-80
Ich habe eine Endbenutzerversion dieser Frage unter hinzugefügt superuser.com/questions/739260/… (aber jemand hat es bereits ohne Erklärung abgelehnt).
danorton
1
@Nikolay, jetzt bin ich so versucht, es auf cooking.se zu fragen ...
Joe

Antworten:

7

Du solltest:

  • Aktualisieren Sie Ihr System auf die neueste OpenSSL-Version
  • Generieren Sie neue Schlüssel und Zertifikate für Dienste, die auf OpenSSL basieren, und starten Sie sie neu
  • Frühere Zertifikate widerrufen
  • Alle eingerichteten Sitzungen ungültig machen
Executifs
quelle
Ich nehme an, Sie kennen keine klaren Anweisungen für die letzten drei Schritte, oder?
Paul D. Waite
Das Sperren und Wiederherstellen von Produktionszertifikaten hängt normalerweise von dem Prozess ab, den Ihre Zertifizierungsstelle eingerichtet hat. Da das von einer CA zur nächsten variiert ...
Roger Lipscombe
Wie Sie Ihr System aktualisieren, hängt von Ihrem Paketmanager ab. Das Inaktivieren von Sitzungen ist anwendungsabhängig. Bei Zertifikaten müssen Sie sich an Ihre Zertifizierungsstelle wenden. Der erste Schritt sollte jedoch darin bestehen, einen neuen Schlüssel und eine neue CSR zu generieren: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
Executifs
4

Gestohlen von einem reddit Kommentar.

  1. Aktualisieren Sie Ihr System:

    sudo apt-get update
    sudo apt-get upgrade
    
  2. Starten Sie den Server neu

  3. openssl version -a um sicherzustellen, dass Sie die neueste Version haben !!

Matt Cruikshank
quelle
Das OP liefert!
I am John Galt
1
@IamJohnGalt Es ist nicht so, als wäre es ein verschlossener Safe oder so. ;)
Ƭᴇcʜιᴇ007
14
Das ist nicht ausreichend. Die SSL-Schlüssel müssen ersetzt werden, ohne dass Sie durch einen Patch anfällig für einen Diebstahl von Schlüsseln sind.
Tyrsius
Dies setzt voraus, dass Ihr System verwendet apt-get als Ihr Paketmanager. Die Frage deutet nicht unbedingt darauf hin, dass dies der Fall ist.
Michael
0

Genauer gesagt für Ubuntu oder Debian im Allgemeinen

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Ref http://www.ubuntu.com/usn/usn-2165-1/

rleir
quelle