Bir Ubuntu 12.04 sunucum var. OpenSSLHeartbleed güvenlik açığını gidermek için paketi güncelledim . Ancak web sunucusunu ve hatta tüm sunucuyu yeniden başlatmış olmama rağmen hala savunmasızım.

Güvenlik açığımı kontrol etmek için kullandım:

• http://www.exploit-db.com/exploits/32745/
• http://filippo.io/Heartbleed

dpkg verir:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(Launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

libssl1.0.0Paketin de güncellendiğinden emin olun (bu paket gerçek kütüphaneyi, opensslpaket araçları içerir) ve kitaplığı kullanan tüm hizmetlerin yükseltme işleminden sonra yeniden başlatıldığından emin olun.

Openssl kullanarak tüm servisleri yeniden başlatmak zorundasınız (service apache restart).

Bu var mümkün sen başına, yanlış pozitif vaka vardır SSS :

Yanlış pozitifler alıyorum (kırmızı)!

Dikkatli olun, butona dokunarak siteyi parlatmadıysanız, kırmızının kırmızı olmadığını düşünmeme imkân yok.

Bellek dökülmesini kontrol edin, eğer oradaysa, araç onu bir yerden edindi.

Diyelim ki doğru bir şekilde güncelledikten sonra tüm işlemleri yeniden başlattıysanız, daha iyi görünmeniz gerektiğinden% 99 eminim.

Güncelleme: hala, sürekli kırmızıya etkilenmeyen sürümlerin raporlarını alıyorum. Etkilenirseniz, lütfen konuyla ilgili yorum yapın . 3 şeyi arıyorum: bellek dökümü (nereden geldiklerini bulmak için), zaman damgaları (olabildiğince doğru, Ağ sekmesiyle deneyin), tıkladığınız ve yazdıklarınızın tam bir açıklaması.

Sitenizi SSLLabs gibi başka bir araç kullanarak test edebilir ve hala savunmasız olup olmadığınızı kontrol edebilirsiniz.
Ayrıca, sorunu yukarıda açıklandığı gibi http://filippo.io/Heartbleed test cihazıyla bildirmelisiniz .

Mod_spdy kullanıyorsanız, mod_spdy kurulumunuzu güncellediğinizden emin olun. Ayrıntılar için https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU adresine bakın. Mod_spdy debisini yükseltmeniz veya önceki sürümü tamamen kaldırmanız gerekir.

Büyük olasılıkla, 443'ü dinleyen ve statik olarak bağlı bir openssl kitaplığına sahip bir programı dinliyorsunuz. Bu, programın paketlenmiş kendi openssl'sine sahip olduğu anlamına gelir - bu programı da güncelleyin! Mevcut değilse, derhal satıcıyı bilgilendirin ve mümkünse bu uygulamayı askıya alın!

SSS sayfasında listelenen hatayı yaşıyor olabilirsiniz . Belli koşullar altında, yamalanmış bir sistemde bile savunmasız bir bildirim alabileceğiniz anlaşılmaktadır.

Yanlış pozitifler alıyorum (kırmızı)!

Dikkatli olun, butona dokunarak siteyi parlatmadıysanız, kırmızının kırmızı olmadığını düşünmeme imkân yok. Bellek dökülmesini kontrol edin, eğer oradaysa, araç onu bir yerden edindi. Diyelim ki doğru bir şekilde güncelledikten sonra tüm işlemleri yeniden başlattıysanız, daha iyi görünmeniz gerektiğinden% 99 eminim.

Güncelleme: hala, sürekli kırmızıya etkilenmeyen sürümlerin raporlarını alıyorum. Etkilenirseniz, lütfen konuyla ilgili yorum yapın. 3 şeyi arıyorum: bellek dökümü (nereden geldiklerini bulmak için), zaman damgaları (olabildiğince doğru, Ağ sekmesiyle deneyin), tıkladığınız ve yazdıklarınızın tam bir açıklaması.

Sisteminizin artık savunmasız olmadığını doğrulamak için Qualys gibi alternatif bir testle test etmenizi öneririm . Eğer Github'a gitmediyse ve rapor et.

Hala kırılmış

Nedir? Bahsettiğiniz "sunucu" statik bir OpenSSl kütüphanesine sahip olabilir. Bu, sisteminizi güncellemenize rağmen uygulamanızın hala risk altında olduğu anlamına gelir! Düzeltme eki almak için hemen yazılım satıcısıyla görüşmeniz veya yapılana kadar hizmeti kapatmanız gerekir.

Yama bitinceye kadar hizmeti gerçekten devre dışı bırakmak zorunda mıyım?

Evet, savunmasız bir hizmeti yürütmek olası ihmaller açısından son derece tehlikelidir! Sunucunun aktarımdan şifresini çözen herhangi bir veriyi sızdırıyor olabilirsiniz, hatta bilmiyor olabilirsiniz!

Nginx'inizin sistem kitaplığı kullandığından emin olun: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/

Bu, 443'te çalışan uygulama OpenSSL için statik bir kütüphane kullanıyorsa mümkündür. Bu durumda, güncellemek zorunda olduğunu artık savunmasız olmamak için uygulamayı.

Sonunda OP ile benzer olan sorunumu çözebildim. Sunucum Bitnami'den bir LAMP yığını. Bu talimatlara uyarak:

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9