OpenSSL 严重 bug 允许攻击者读取 64k 内存,Debian 半小时修复
anjunecha · 2014-04-08 12:05:06 +08:00 · 7399 次点击这是一个创建于 3664 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2014-04-09 09:21:44 +08:00
一。关于Heartbleed 漏洞测试工具:
1. FiloSottile/Heartbleed (需要安装Go)
https://github.com/FiloSottile/Heartbleed
2. titanous/heartbleeder(需要安装Go)
https://github.com/titanous/heartbleeder
3. emboss/heartbeat(需要安装Ruby)
https://github.com/emboss/heartbeat
二。关于Ubuntu系统的不同版本的修复说明
http://www.ubuntu.com/usn/usn-2165-1/
1. FiloSottile/Heartbleed (需要安装Go)
https://github.com/FiloSottile/Heartbleed
2. titanous/heartbleeder(需要安装Go)
https://github.com/titanous/heartbleeder
3. emboss/heartbeat(需要安装Ruby)
https://github.com/emboss/heartbeat
二。关于Ubuntu系统的不同版本的修复说明
http://www.ubuntu.com/usn/usn-2165-1/
第 2 条附言 · 2014-04-09 14:35:18 +08:00
来自下午1点多的 [阿里安全] 的官方微博的公告: [阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。] ,要改密码的赶紧可以改了
 |
1
DearMark 2014-04-08 12:38:51 +08:00
get it
|
 |
2
Livid MOD  1
apt-get update
apt-get install libssl1.0.0 libssl-dev |
 |
3
aliuwr 2014-04-08 13:28:01 +08:00
根据 Bug 描述, 可以重复读取 64K 内存, 直到攻击者获取到想要的数据.
|
 |
4
LazyZhu 2014-04-08 14:21:04 +08:00
|
 |
5
nichan 2014-04-08 15:52:23 +08:00
是不是说我需要更换vps的密钥文件了?
|
 |
6
mumchristmas 2014-04-08 16:31:15 +08:00
@Livid 这次不只升级库这么简单了,目前所有在1.0.1下运作的SSL证书全都要更换,heartbleed攻击不会在服务器端留下任何log痕迹。
有人评价这是计算机安全领域出现过的影响力最大的bug。 |
 |
7
sdysj 2014-04-08 17:20:32 +08:00
哈哈,这下SSL该毁了,大站私钥都得换了。
|
 |
8
cax0ch 2014-04-08 17:32:36 +08:00
还没看这个问题,得研究下
|
|
9
mumchristmas 2014-04-08 18:10:48 +08:00
|
 |
10
MrMario 2014-04-08 18:14:33 +08:00
昨儿刚编译安装好1.0.1f ,唉 ╮(╯▽╰)╭
|
 |
11
66CCFF 2014-04-08 18:20:33 +08:00
还好证书还没来得及用= =
|
 |
12
sanddudu 2014-04-08 18:22:50 +08:00
@mumchristmas
这个漏洞目前只在 1.0.1g 修复了,beta 版本要 1.0.2-beta2 才会修复这个漏洞,目前还没出 临时的解决方案是重新编译时带上 -DOPENSSL_NO_HEARTBEATS 参数 http://www.openssl.org/news/secadv_20140407.txt 另外更换秘钥是为了保险,如果没有遭受攻击,不一定要更换秘钥 |
 |
15
humiaozuzu 2014-04-08 19:35:52 +08:00
公钥认证的会受到影响吗
|
 |
16
lightening 2014-04-08 20:02:34 +08:00
我们用的 Ubuntu 12.04 LTS 太老了,没有受这个 bug 影响……
|
 |
17
Semidio 2014-04-08 20:15:45 +08:00
|
|
18
mumchristmas 2014-04-08 20:16:12 +08:00
@sanddudu 在没有证据证明未遭受攻击的情况下,基于信息安全原则,需视同已遭受攻击的情况进行处理。
|
 |
19
046569 2014-04-08 20:20:24 +08:00
@lightening
表示Debian squeeze也被漏洞无视了... |
 |
21
sobigfish 2014-04-08 20:27:37 +08:00
@zdf
apt-get update apt-get upgrade 也是可以的, (至少我这)debian更新了 libssl-dev libssl-doc libssl1.0.0 openssh-client openssh-server openssl ssh |
 |
22
panlilu 2014-04-08 20:30:47 +08:00
我试了一下某网站,直接跑出了明文的密码,太恐怖了- -。
|
|
23
sobigfish 2014-04-08 21:19:30 +08:00
www.booking.com IS VULNERABLE.
-.- 果然这家真是不注重安全。 |
 |
25
txlty 2014-04-08 23:58:22 +08:00
|
 |
26
niseter 2014-04-09 00:09:23 +08:00
@mumchristmas 你这是个空文件?
|
|
28
mumchristmas 2014-04-09 00:24:54 +08:00
@niseter 已经被删除了:(
|
|
29
niseter 2014-04-09 00:56:47 +08:00
@mumchristmas 能麻烦你发一份给我吗?谢谢。 happy(dot)country(at)gmail
|
 |
31
bigredapple 2014-04-09 09:12:22 +08:00
yum -y update 已经修复
|
 |
33
Ever 2014-04-09 09:26:19 +08:00
别光用apt或者yum更新ssl, lsof一下看看都谁在调用的手动重启下相应进程。
|
 |
34
sNullp 2014-04-09 10:10:08 +08:00
@Semidio 对,证书已泄漏的话需要更换证书,用户数据泄漏需要提醒用户修改之类的。。但是这还是不能解释为什么软件需要重新编译啊
|
 |
35
HowardMei 2014-04-09 10:34:48 +08:00
Ubuntu 14.04LTS Beta 没在列表上,看来是时候升级了
科学和工程的差别就在这里,科学总是严密的,工程则自带各种缺陷~~~ |
 |
36
glasslion 2014-04-09 10:48:20 +08:00
Happy 0-day to you
Happy 0-day to you Happy 0-day dear netizens Happy 0-day to you! |
 |
37
zdf 2014-04-09 12:47:37 +08:00 via iPhone
我用apt更新后显示还是1.0.1c,用那个网站检测提示没问题了,这是什么情况?系统为Ubuntu12.10。
|
 |
39
akann 2014-04-09 15:25:28 +08:00
@zdf 他这个虽然名字叫1.0.1c但实际上已经修复了这个Heartbleed bug了,参看 https://launchpad.net/ubuntu/+source/openssl/1.0.1c-3ubuntu2.7
SECURITY UPDATE: memory disclosure in TLS heartbeat extension - debian/patches/CVE-2014-0160.patch: use correct lengths in ssl/d1_both.c, ssl/t1_lib.c. - CVE-2014-0160 这个d1_both.c的修改是关键啊。 |
|
40
aliuwr 2014-05-09 14:49:07 +08:00
@Livid 我总感觉 V2EX 的通知系统大部分时候对我都没用,没有回复提醒。是因为我回复不够活跃吗?
@txlty 如果你用这个私钥登录过系统,内存中就可能有私钥的数据,就可能被窃取了。。 |
Select Language