返回列表 發帖

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

  1. OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

  2. 關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own)

  3. 這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。

  4. 註: 此篇文章非常清楚說明問題、應對措施, 該如何做等等, 在此就不詳述, 只紀錄幾個要做的事情.

  5. Debina / Ubuntu Linux 需要做的事情

  6. dpkg -l | grep openssl # 確認 OpenSSL 版本是否是 openssl 1.0.1e-2+deb7u4 (Debian Wheezy) / openssl 1.0.1-4ubuntu5.11 (Ubuntu 12.04)
  7. 使用下述檢測工具測試
  8. Heartbleed test: Test your server for Heartbleed (CVE-2014-0160)
  9. 自我測試工具: http://s3.jspenguin.org/ssltest.py 或 備份, ex: python ssltest.py ifttt.com
  10. 檢測是否有問題:
  11. 有問題, 請到上述文章去看有哪些事情要作.
  12. 沒有問題, 請執行套件升級:
  13. apt-get update
  14. apt-get upgrade # 注意 openssl、libssl.
  15. 更新後的版本是:
  16. Debian Wheezy: openssl 1.0.1e-2+deb7u6
  17. Debian Jessie: openssl 1.0.1g-1
  18. Ubuntu 12.04: openssl 1.0.1-4ubuntu5.12
  19. Ubuntu 13.10: openssl 1.0.1e-3ubuntu1.2
  20. 注意: OpenSSL 1.0.1 ~ 1.0.1f 和 1.0.2-beta 使用這些版本建出來的 SSL Key 會需要重新產生建立
  21. 更新

  22. 此篇有更新版的資料, 建議參考: OpenSSL Heartbleed 全球駭客的殺戮祭典,你參與了嗎?
  23. 新增檢測工具: check-ssl-heartbleed.pl
  24. 2014/4/10 尚未更新清單: Internet Heartbleed Health Report
複製代碼

返回列表