贴下知乎的回答:
另外有一个测试网站是否受到影响的服务:Test your server for Heartbleed (CVE-2014-0160) (现在长期503)
根 据页面上的介绍,这个 OpenSSL 的实现漏洞可以在握手阶段获取到主机上的敏感内存数据,甚至包括 SSL 证书私钥!漏洞2012年出现,昨天(2014年4月7日)才刚刚被修复。想问一下知乎上的信息安全专业人士们,这个漏洞的可利用性和影响范围究竟有多 大?如果是,那么这个曾今的 0day 是否被广泛利用?
很严重的漏洞,涉及开启了Heartbeat扩展的OpenSSL版本1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1
http://www.openssl.org/news/vulnerabilities.html
刚才在我们的服务器(Gentoo)上看了一下,用的正是1.0.1c的受威胁版本,不过我们并没有开启Heartbeat,所以并不会受到实际威胁,但还是打上了补丁,以备不时之需。
https://github.com/openssl/openssl/commit/7e840163c06c7692b796a93e3fa85a93136adbb2
如果你只是想检测一下你的服务器受不受威胁,现在有一款现成的工具可以用
titanous/heartbleeder 路 GitHub
也可以直接使用下面的OpenSSL命令来判断
expand source
这个命令只告诉你是否有启用Heartbeat,但并不能说明是否受到威胁,还需要结合OpenSSL的版本进行判断。
Hacker News上面有人给出了这段脚本,能检测Alexa Top Million网站开启Heartbeat的服务器
expand source
Download Alexa Top 1,000,000 Websites for Free
I wrote a bash script to check the top 1000 websites and huge percentage of them...
跑了一小会儿,但好像并没发现什么有价值的信息。其实Heartbeat作为CRM在OpenSSL中用到的机会本就不多,再加上大网站的反应都很迅速,不容易出现大的纰漏。至于0Day发布之前有没有被人利用旧不得而知了。
现在各大发行版都已经打上补丁,请各位尽快更新。
我是用的Centos ,目前官方说受威胁的版本是1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1 。在OpenSSL 1.0.1g版本中“ Heartbleed”漏洞被修复。所有centos6.5的系统运行OpenSSL 1.0.1e (openssl-1.0.1e-16.el6_5.4) 都会受到威胁,貌似只有6.5的会受到威胁。
先查看你的openssl版本,命令如下:
#opensslversion
或者
#openssl version -a//加 -a参数会显示更详细
又或
#yum info openssl //redhat系列的可以用
ubuntu 和debian 可以用下面的命令:
#dpkg-query -l 'openssl'
好吧,哥用的就是OpenSSL 1.0.1f ,受威胁的版本。呵呵,真坑。不过没开启 Heartbleed ,又没设置https访问,没影响,不过还是升级下。
输入升级openssl版本的命令:
#yum clean all && yum update "openssl*" //redhat系列可用这个
www.111Cn.net
ubuntu和debian可以使用下面的命令:
#apt-get update
#apt-get upgrade
OpenSuSE使用下面的命令:
#zypper update
确保你安装的是openssl-1.0.1e-16.el6_5.7版本 或者更新的版本。yum源中没有这个包的话,只能自己去下载rpm包安装了。我估计是肯定有的。
为毛安装openssl-1.0.1e-16.el6_5.7 版本呢?因为这个版本已经修复了,见 http://lists.centos.org/pipermail/centos-announce/2014-April/020249.html 。还有个原因是我的yum源里没openssl-1.0.1g版本。
然后再执行以下命令,检查还有哪些进程仍然在使用被删掉的旧版本openssl库 :
#lsof -n | grep ssl | grep DEL
没有就是正常了。有的话,那你就必须重新每个使用旧版本openssl库的进程了。所以,我懒得一个个重启了,又是小博客,直接重启服务器了。
如果可能的话,建议重新生成ssl 私钥,改密码之类的。
www.111com.net
注意:还可以用下面这条命令检查你安装的这个版本的openssl时候打好了补丁,因为每次修复漏洞,打补丁后,软件包本身都会在日志(change-log)里记录这些信息。命令如下:
# rpm -q --changelog openssl-1.0.1e | grep -B 1 CVE-2014-0160// CVE-2014-0160是这个漏洞的代码,可以去openssl的官网查的
显示:
* Mon Apr 07 2014 Tom谩拧 Mr谩z
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
说明这个版本已经修复了这个漏洞。
##########################################################################
2014. 4.9更新 直接源码安装openssl1.0.1g版本。
先下载openssl 1.0.1g版本,命令如下:
#wget -chttps://www.openssl.org/source/openssl-1.0.1g.tar.gz
再下载这个版本的md5校验包:
#wget -c https://www.openssl.org/source/openssl-1.0.1g.tar.gz.md5
然后校验下的openssl包是否被恶意修改过:
#md5sum openssl-1.0.1g.tar.gz | awk '{print $1;}' | cmp - openssl-1.0.1g.tar.gz.md5
如果校验没问题,再接着解压包,命令:
#tar -zvxf openssl-1.0.1g.tar.gz//解压openssl-1.0.1g.tar.gz
进入这个解压缩的目录:
#cd openssl-1.0.1g
输入下面的命令进行编译,安装,我直接设置了一些重要的参数,因为其他的参数对于我来说就根本没用。如果需要参数,自己添加就是。输入:
#./config --prefix=/usr/local --openssldir=/usr/local/ssl
#make && make install
#./config shared --prefix=/usr/local --openssldir=/usr/local/ssl //产生动态库
#make clean
#make && make install
或者你什么参数都不加,完全用默认的:
#./config && make && make install
话大概五六分中编译安装完。没出问题的话,继续输入下面的命令,手动软链新的openssl二进制文件:
#ln -sf /usr/local/ssl/bin/openssl `which openssl`
最后重启下服务器(重启进程麻烦的),输入:
#reboot
重启后,输入下面的命令检测下openssl 的版本:
#openssl version
显示:
openssl version
教程over了!