Bir Linux sunucusuna savunmasız bir OpenSSL sürümü nasıl kurulur?

Bir takım web güvenlik sorunu için ayarladığım bir sunucuda Heartbleed-savunmasız bir OpenSSL sürümünü derlemek ve yüklemek istiyorum (bunlar Ubuntu'nun deposundan bariz nedenlerle yüklenemediğinden).

Sağlanan talimatları kullanarak (Open ./config, sonra makeve çalıştır make install) OpenSSL 1.0.1f kaynağından indirip derledim ve GitHub'dan açık olarak bulunan Heartbleed POC'yi çalıştırmayı denedim bilgisayarımdan , ancak komut dosyası bana hiçbir kalp atışı yanıtı alınmadığını ve sunucu muhtemelen savunmasız değildir.

Running openssl versionşu çıktıyı üretir: OpenSSL 1.0.1f 6 Ocak 2014 . Tabii ki bir SSL sertifikası kurdum ve SSL erişimi sunucuda çalışıyor.

OpenSSL, Apache 2.4.7 ile çalışacak şekilde kurulur.

Biri yardım edebilir mi?

Burada olabilecek iki şey var:

1. Basit bir "./configure; make; make install" varsayılan olarak paylaşılan kitaplıkları yerleştirir /usr/local/lib. Ancak, sistem tarafından yüklenen kütüphaneler, /usr/libdaha önce kütüphane arama yolunda gelir. Sistemde yüklü olan OpenSSL sürümünü kaldırmazsanız, güvenlik açığından etkilenen sürüm bulunmaz.

2. Sistem kitaplıklarının üzerine yazsanız bile, Apache yeniden başlatılıncaya kadar değişiklik alınmaz. Silinen dosyalara açık dosya tanıtıcıları olan tüm programlar bu dosya tanıtıcılarını kapatana kadar erişilebilir (ve diskte yer kaplar).

Hangi sunucu yazılımı kullanılıyor?

OpenSSL ikilisinin savunmasız olmasına rağmen, bir işletim sistemi paketinden yüklenmiş bir web sunucusunun savunmasız olmayan bir kitaplık sürümü kullanıyor olması muhtemeldir.

Güvenlik açığından etkilenen bir dinleyiciyi çalıştırmanın en basit yolu, güvenlik açığından etkilenmek openssl s_serveriçin tam bir web sunucusuna ihtiyacınız varsa, güvenlik açığından etkilenen OpenSSL'ye karşı derlemeniz gerekecektir.