จะติดตั้ง OpenSSL เวอร์ชันที่มีช่องโหว่บนเซิร์ฟเวอร์ Linux ได้อย่างไร

ฉันต้องการรวบรวมและติดตั้งรุ่น OpenSSL ที่มีช่องโหว่ Heartbleed บนเซิร์ฟเวอร์ฉันกำลังตั้งค่าสำหรับการท้าทายความปลอดภัยบนเว็บของทีม

ฉันดาวน์โหลดและรวบรวมจากแหล่ง OpenSSL 1.0.1f โดยใช้คำแนะนำที่ให้ไว้ (เรียกใช้./configแล้วmakeและmake install) และพยายามเรียกใช้ Heartbleed POC จาก GitHubจากเครื่อง PC ของฉันอย่างไรก็ตามสคริปต์ดังกล่าวไม่ได้รับการตอบสนองการเต้นของหัวใจและ เซิร์ฟเวอร์มีแนวโน้มที่จะไม่เสี่ยง

เล่นopenssl versionผลิตการส่งออกต่อไปนี้: OpenSSL 1.0.1f 6 มกราคม 2014 ฉันติดตั้งใบรับรอง SSL แน่นอนและการเข้าถึง SSL ทำงานบนเซิร์ฟเวอร์

มีการติดตั้ง OpenSSL เพื่อทำงานกับ Apache 2.4.7

ใครช่วยได้บ้าง

มีสองสิ่งที่อาจเกิดขึ้นที่นี่:

1. ง่าย "./configure; ยี่ห้อ; ให้ติดตั้ง" /usr/local/libจะได้โดยเริ่มต้นที่ห้องสมุดร่วมกันใน อย่างไรก็ตามไลบรารีที่ติดตั้งระบบจะอยู่ใน/usr/libซึ่งมาก่อนหน้านี้ในเส้นทางการค้นหาไลบรารี หากคุณไม่ลบ OpenSSL เวอร์ชันที่ติดตั้งระบบจะไม่พบรุ่นที่มีช่องโหว่

2. แม้ว่าคุณจะเขียนไลบรารีระบบมากเกินไปการเปลี่ยนแปลงจะไม่ถูกหยิบขึ้นมาจนกว่าคุณจะรีสตาร์ท Apache ไฟล์ที่ถูกลบจะยังคงสามารถเข้าถึงได้ (และใช้พื้นที่บนดิสก์) จนกว่าโปรแกรมทั้งหมดที่มีการเปิด filehandles ให้ปิดไฟล์เหล่านั้น

ซอฟต์แวร์เซิร์ฟเวอร์ใดกำลังใช้งานอยู่

แม้ว่าไบนารีของ OpenSSL จะมีช่องโหว่ แต่เว็บเซิร์ฟเวอร์ที่ติดตั้งจากแพ็คเกจระบบปฏิบัติการมีแนวโน้มที่จะใช้เวอร์ชันไลบรารี่ที่ไม่เสี่ยง

วิธีที่ง่ายที่สุดในการรับฟังที่มีช่องโหว่นั้นคือopenssl s_server- หากคุณต้องการเว็บเซิร์ฟเวอร์แบบเต็มรูปแบบที่มีช่องโหว่คุณอาจต้องคอมไพล์กับ OpenSSL ที่มีช่องโหว่