คำถามติดแท็ก heartbleed

9
Heartbleed: มันคืออะไรและมีตัวเลือกอะไรบ้างในการลดความมัน?
นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับการทำความเข้าใจและแก้ไขปัญหาความปลอดภัย Heartbleed CVE-2014-0160 AKA คืออะไร "Heartbleed" สาเหตุอะไรที่ระบบปฏิบัติการและเวอร์ชั่นของ OpenSSL มีความเสี่ยงมีอาการอะไรบ้างมีวิธีการตรวจสอบหาช่องโหว่ที่ประสบความสำเร็จหรือไม่ ฉันจะตรวจสอบว่าระบบของฉันได้รับผลกระทบได้อย่างไร? ช่องโหว่นี้จะบรรเทาลงได้อย่างไร? ฉันควรกังวลว่ากุญแจหรือข้อมูลส่วนตัวอื่น ๆ ของฉันถูกบุกรุกหรือไม่? ฉันควรคำนึงถึงผลข้างเคียงอะไรบ้าง

8
Heartbleed: วิธีการตรวจสอบเวอร์ชั่น OpenSSL อย่างเชื่อถือได้และพกพาได้อย่างไร
ฉันกำลังมองหาวิธีที่เชื่อถือได้และพกพาเพื่อตรวจสอบเวอร์ชัน OpenSSL บน GNU / Linux และระบบอื่น ๆ เพื่อให้ผู้ใช้สามารถค้นพบว่าพวกเขาควรอัปเกรด SSL ของพวกเขาหรือไม่เพราะ Heartbleed bug ฉันคิดว่ามันจะง่าย แต่ฉันพบปัญหาอย่างรวดเร็วบน Ubuntu 12.04 LTS ด้วย OpenSSL 1.0.1g ล่าสุด: openssl เวอร์ชัน -a ฉันคาดหวังว่าจะเห็นเวอร์ชันเต็ม แต่ฉันได้รับสิ่งนี้: OpenSSL 1.0.1 14 มีนาคม 2012 สร้างเมื่อ: อ. มิ.ย. 4 07:26:06 UTC 2013 แพลตฟอร์ม: [... ] สำหรับความประหลาดใจอันไม่พึงประสงค์ของฉันจดหมายฉบับไม่แสดง ไม่ f ไม่มี g เพียงแค่ "1.0.1" และนั่นคือ …

6
Heartbleed: บริการอื่น ๆ ที่นอกเหนือจาก HTTPS ได้รับผลกระทบหรือไม่
ช่องโหว่ "อกหัก" OpenSSL ( CVE-2014-0160 ) ส่งผลกระทบต่อเว็บเซิร์ฟเวอร์ที่ให้บริการ HTTPS บริการอื่น ๆ ยังใช้ OpenSSL บริการเหล่านี้มีความเสี่ยงต่อการรั่วไหลของข้อมูลที่เหมือนหัวใจหรือไม่? ฉันกำลังคิดโดยเฉพาะ sshd ปลอดภัย SMTP, IMAP ฯลฯ - dovecot, exim & postfix เซิร์ฟเวอร์ VPN - openvpn และเพื่อน ๆ ทั้งหมดนี้ในระบบของฉันอย่างน้อยก็เชื่อมโยงกับไลบรารี OpenSSL

8
เซิร์ฟเวอร์ของฉันยังคงมีความเสี่ยงต่อการถูกรบกวนแม้หลังจากอัปเดต OpenSSL แล้ว
ฉันมีเซิร์ฟเวอร์ Ubuntu 12.04 ฉันได้อัปเดตOpenSSLแพคเกจเพื่อแก้ไขช่องโหว่ที่รุนแรง แต่ฉันยังคงมีช่องโหว่แม้ว่าฉันจะรีสตาร์ทเว็บเซิร์ฟเวอร์และแม้กระทั่งเซิร์ฟเวอร์ทั้งหมด เพื่อตรวจสอบช่องโหว่ของฉันฉันใช้: http://www.exploit-db.com/exploits/32745/ http://filippo.io/Heartbleed dpkg ให้: dpkg -l |grep openssl ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools (launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

4
ฉันจะตรวจสอบได้อย่างไรว่าใบรับรอง SSL ของฉันถูกเพิกถอนแล้ว
การค้นพบช่องโหว่ที่ผ่านมาเร็ว ๆ นี้ได้กระตุ้นให้หน่วยงานออกใบรับรองออกใบรับรองอีกครั้ง ฉันมีสองใบรับรองที่สร้างขึ้นก่อนที่จะค้นพบช่องโหว่ หลังจากผู้ออก SSL บอกให้ฉันสร้างใบรับรองใหม่ฉันได้อัปเดตทั้งเซิร์ฟเวอร์ / โดเมนด้วยใบรับรองใหม่ หากความเข้าใจของฉันถูกต้องแล้วใบรับรองเก่าควรถูกเพิกถอนโดย CA และควรส่งไปที่ CRL (รายการเพิกถอนใบรับรอง) หรือฐานข้อมูล OCSP (โพรโทคอลสถานะสถานะใบรับรองออนไลน์) มิฉะนั้นเป็นไปได้ทางเทคนิคสำหรับบุคคลที่จะดำเนินการ " คนที่อยู่ตรงกลางโจมตี "โดยการสร้างใบรับรองจากข้อมูลที่หยิบมาจากใบรับรองที่ถูกบุกรุก มีวิธีการตรวจสอบว่าใบรับรองเก่าของฉันทำกับ CRL และ OCSP หรือไม่ หากพวกเขาไม่ได้มีวิธีที่จะรวมพวกเขา? อัปเดต: สถานการณ์คือฉันได้แทนที่ใบรับรองทั้งหมดที่ฉันมีแล้วคือไฟล์. crt ของใบรับรองเก่าดังนั้นการใช้ url เพื่อตรวจสอบจึงเป็นไปไม่ได้จริงๆ
23 linux  ssl  heartbleed  crl  ocsp 


2
จะติดตั้ง OpenSSL เวอร์ชันที่มีช่องโหว่บนเซิร์ฟเวอร์ Linux ได้อย่างไร
ฉันต้องการรวบรวมและติดตั้งรุ่น OpenSSL ที่มีช่องโหว่ Heartbleed บนเซิร์ฟเวอร์ฉันกำลังตั้งค่าสำหรับการท้าทายความปลอดภัยบนเว็บของทีม ฉันดาวน์โหลดและรวบรวมจากแหล่ง OpenSSL 1.0.1f โดยใช้คำแนะนำที่ให้ไว้ (เรียกใช้./configแล้วmakeและmake install) และพยายามเรียกใช้ Heartbleed POC จาก GitHubจากเครื่อง PC ของฉันอย่างไรก็ตามสคริปต์ดังกล่าวไม่ได้รับการตอบสนองการเต้นของหัวใจและ เซิร์ฟเวอร์มีแนวโน้มที่จะไม่เสี่ยง เล่นopenssl versionผลิตการส่งออกต่อไปนี้: OpenSSL 1.0.1f 6 มกราคม 2014 ฉันติดตั้งใบรับรอง SSL แน่นอนและการเข้าถึง SSL ทำงานบนเซิร์ฟเวอร์ มีการติดตั้ง OpenSSL เพื่อทำงานกับ Apache 2.4.7 ใครช่วยได้บ้าง

4
ฉันต้องเปลี่ยนคีย์สำหรับ OpenSSH เพื่อตอบสนองต่อ Heartbleed หรือไม่?
ฉันได้อัปเดตเซิร์ฟเวอร์ด้วยแพตช์แล้ว ฉันจำเป็นต้องสร้างคีย์ส่วนตัวใหม่สำหรับ OpenSSH หรือไม่? ฉันรู้ว่าฉันต้องสร้างใบรับรอง SSL ใหม่อีกครั้ง แก้ไข:ฉันไม่ได้พูดอย่างถูกต้องเพียงพอ ฉันรู้ว่าช่องโหว่อยู่ใน openssl แต่ฉันถามว่าเรื่องนี้มีผลกระทบกับ openssh หรือไม่และฉันจำเป็นต้องสร้างคีย์โฮสต์ openssh อีกครั้งหรือไม่
9 ssh  heartbleed 
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.