即使我更新了OpenSSL，我的服务器仍然容易出现心脏出血的情况

28

我有一个Ubuntu 12.04服务器。我已更新OpenSSL软件包以修复令人讨厌的漏洞。但是，即使我重新启动了Web服务器，甚至整个服务器，我仍然容易受到攻击。

要检查我的漏洞，我使用了：

dpkg给出：

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

（launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12）

— 用户3301260
source

输出openssl version -a？

— 内森·C

我也正在运行12.04服务器（使用nginx）。我的被设置为自动安装安全更新，当我运行python脚本时说它不容易受到攻击。您是从软件包存储库安装Nginx还是手动安装？

— mikeazo 2014年

1

您在此端口上运行什么？如果它是第三方应用程序，则您可能有一个静态库

— Nathan C

29

确保libssl1.0.0软件包也已更新（该软件包包含实际的库，该openssl软件包包含工具），并且升级后使用该库的所有服务都已重新启动。

您必须使用openssl重新启动所有服务（服务apache重新启动）。

— 霍坎·林德奎斯特
source

4

— Jemenake 2014年

3

这是可能的，你是个假阳性的情况下，按照常见问题解答：

我收到误报（红色）！

注意，除非您在锤击按钮的站点上出现故障，否则我无法想到红色不是红色。

检查内存转储，如果存在，则该工具从某处获取它。

假设我有99％的把握，如果正确更新后重新启动所有进程，您应该看起来会更好。

更新：不过，我一直收到未受影响版本变红的报告。如果您受到影响，请对此问题发表评论。我正在寻找3件事：内存转储（以找出它们来自哪里），时间戳记（尽可能准确，请尝试使用“网络”选项卡），单击和键入内容的完整描述。

您可以使用SSLLabs之类的其他工具测试您的站点，并查看您是否仍然被报告为脆弱。
您还应该如上所述使用http://filippo.io/Heartbleed测试仪报告该问题。

— voretaq7
source

上前为易受心脏出血漏洞利用SSLLabs

— 马特

@Matt然后，您实际上可能有问题-检查内存转储（您得到一个了吗？），并与filippo.io工具背后的好伙伴联系。

— voretaq7

2

如果碰巧正在运行mod_spdy，请确保更新了mod_spdy安装。有关详细信息，请参见https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU。您需要升级mod_spdy deb或完全删除以前的版本。

— wing
source

2

您可能有一个监听443的程序，该程序具有静态链接的openssl库。这意味着该程序具有打包的自己的openssl-也要更新该程序！如果没有人，请立即通知供应商，并尽可能暂停该应用程序！

— 内森·C
source

2

您可能会遇到“ 常见问题”页面上列出的错误。在某些情况下，即使在已打补丁的系统上，您也可能会收到易受攻击的通知。

我收到误报（红色）！

注意，除非您在锤击按钮的站点上出现故障，否则我无法想到红色不是红色。检查内存转储，如果存在，则该工具从某处获取它。假设我有99％的把握，如果正确更新后重新启动所有进程，您应该看起来会更好。

更新：尽管如此，我一直收到未受影响版本变红的报告。如果您受到影响，请对此问题发表评论。我正在寻找3件事：内存转储（找出它们来自何处），时间戳记（尽可能准确，请尝试使用“网络”选项卡），单击和键入内容的完整描述。

我建议您使用诸如Qualys之类的替代测试来进行测试，以确认您的系统不再脆弱。如果不是，请前往Github报告。

还是坏了

什么是？您谈论的“服务器”可能具有静态链接的OpenSSl库。这意味着即使您更新了系统，您的应用程序仍然处于危险之中！您需要立即与软件供应商联系以获得补丁或关闭服务，直到您这样做为止。

在补丁发布之前，我真的必须禁用该服务吗？

是的，在可能出现疏忽大意的情况下，运行脆弱的服务非常危险！您可能会泄漏服务器从传输中解密的所有数据，甚至不知道！

— 雅各布
source

1

确保您的nginx使用系统库：http : //nginx.com/blog/nginx-and-the-heartbleed-vulnerability/

— VBart
source

0

如果在443上运行的应用程序对OpenSSL使用静态库，则很有可能。在这种情况下，您必须更新该应用程序，使其不再容易受到攻击。

— 内森·C
source

0

我终于能够解决与OP类似的问题。我的服务器是Bitnami的LAMP堆栈。请遵循以下指示：

wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g-     1-linux-x64-installer.run
chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run
./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9

— 马特
source