Centos 6.5下yum升级、修复OpenSSL heartbleed漏洞

这两天OpenSSL Heart Bleed 漏洞搞得人心惶惶，请看这篇文章：分析、诊断OpenSSL Heartbleed Bug，目前可知的能够利用此漏洞的版本是：

OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable

到自己管理的服务器上执行一下命令：

[root@server ~]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

很明显，我的服务器上存在漏洞，于是，到网上下载了一个脚本：Python脚本检测OpenSSL Heart Bleed （心脏流血）漏洞，测试一下：

liang@liang:~/golang$ python ssltest.py
Enter a host: www.xxxx.com
Testing www.xxxx.com...  vulnerable.

代表此网站存在漏洞可被利用。

幸好，Centos 已提供升级包，解决此问题：

[root@server ~]# yum -y install openssl
[root@server ~]# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Apr  8 02:39:29 UTC 2014
platform: linux-x86_64
options:  bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  dynamic
[root@server ~]# reboot

先安装yum -y install openssl，然后输出openssl版本和built日期，如果built日期是Apr 8, 2014之前的，都存在问题，上面显示已经更新了openssl版本，不会存在heartbleed漏洞。

最后一步，是重新启动服务器，再用脚本检测：

liang@liang:~/golang$ python ssltest.py
Enter a host: www.111com.net
Testing www.xxxx.com...  not vulnerable.

已经修复了。