ฉันควรทำอย่างไรเกี่ยวกับ Heartbleed bug สำหรับเว็บไซต์ที่ฉันทำงาน

ปัญหา Heartbleed ที่เพิ่งประกาศใน OpenSSL ส่งผลกระทบต่อหลาย ๆ ไซต์ (70% ของอินเทอร์เน็ต)

มีเว็บไซต์:

http://www.heartbleed.com

มีการทดสอบทางเว็บ:

http://filippo.io/Heartbleed/

ฉันควรทำอย่างไรเพื่อปกป้องไซต์ที่ฉันเรียกใช้

openssl heartbleed

— Matt Cruikshank
แหล่งที่มา

ตอบได้ดีขึ้นในServer Fault - Heartbleed: มันคืออะไรและมีตัวเลือกอะไรบ้างในการลดความมัน?

— Sathyajith Bhat

... เช่นเดียวกับ StackExchange สำหรับผู้เชี่ยวชาญด้านความปลอดภัย ดูsecurity.stackexchange.com/questions/55076และsecurity.stackexchange.com/questions/tagged/heartbleed

— JdeBP

ที่สำคัญทุก SE เว็บไซต์ที่เกี่ยวข้องกับคอมพิวเตอร์ในขณะนี้มีคำถามนี้ ... น่าจะเร็ว ๆ นี้ก็จะถูกถามแม้กระทั่งในcooking.stackexchange.com : D

— VL-80

ฉันได้เพิ่มคำถามนี้ให้กับผู้ใช้ปลายทางที่superuser.com/questions/739260/… (แต่มีบางคนได้ลงคะแนนแล้วโดยไม่มีคำอธิบาย)

— Danorton

@Nikolay ตอนนี้ฉันอยากจะถามเกี่ยวกับการทำอาหาร. se ...

— Joe

คำตอบ:

คุณควร:

อัปเดตระบบของคุณเป็นเวอร์ชัน OpenSSL ล่าสุด
สร้างคีย์และใบรับรองใหม่สำหรับบริการที่ใช้ OpenSSL และรีสตาร์ท
เพิกถอนใบรับรองเดิม
ทำให้เซสชั่นที่สร้างไว้ทั้งหมดไม่ถูกต้อง

— Executifs
แหล่งที่มา

ฉันไม่คิดว่าคุณจะรู้คำแนะนำที่ชัดเจนในสามขั้นตอนนี้ใช่ไหม

— Paul D. Waite

การเพิกถอนและการสร้างใบรับรองการผลิตมักเกี่ยวข้องกับกระบวนการ CA ของคุณ ตั้งแต่นั้นจะแตกต่างจาก CA หนึ่งไปยังอีก ...

— Roger Lipscombe

วิธีอัปเดตระบบของคุณขึ้นอยู่กับผู้จัดการแพ็คเกจของคุณ การทำให้เซสชันยุ่งเหยิงขึ้นอยู่กับแอปพลิเคชัน สำหรับใบรับรองคุณจะต้องติดต่อ CA ของคุณ แต่ขั้นตอนแรกที่ควรจะสร้างคีย์ใหม่และความรับผิดชอบต่อสังคม: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!

— บริหาร

ถูกขโมยจากความคิดเห็น Reddit

อัปเดตระบบของคุณ:
```
sudo apt-get update
sudo apt-get upgrade
```
รีบูตเซิร์ฟเวอร์
openssl version -a เพื่อให้แน่ใจว่าคุณมีเวอร์ชั่นล่าสุด !!

— Matt Cruikshank
แหล่งที่มา

OP มอบให้!

— ฉันคือ John Galt

@IAMJohnGalt ไม่เหมือนกับว่ามันเป็นตู้เซฟหรืออะไรบางอย่าง ;)

— Ƭᴇcʜιᴇ007

สิ่งนี้ไม่เพียงพอ จำเป็นต้องเปลี่ยนคีย์ SSL โดยไม่ต้องทำการแก้ไข แต่อย่างใดแพทช์จะทำให้คุณเสี่ยงต่อการถูกขโมยรหัสผ่านมา

— Kyeotic

สิ่งนี้ถือว่าระบบของคุณใช้apt-getเป็นผู้จัดการแพคเกจของคุณ คำถามไม่ได้ชี้ให้เห็นถึงสิ่งนี้เป็นสิ่งจำเป็น

— Michael

โดยเฉพาะอย่างยิ่งสำหรับ Ubuntu หรือ Debian โดยทั่วไป

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

อ้างอิง http://www.ubuntu.com/usn/usn-2165-1/

— rleir
แหล่งที่มา