Questions tagged «heartbleed»

这是有关了解和修复Heartbleed安全问题的规范问题。 CVE-2014-0160又称为“ Heartbleed”是什么？原因是什么，哪些操作系统和OpenSSL版本容易受到攻击，症状是什么，是否有任何方法可以检测到成功的利用？ 如何检查我的系统是否受到影响？如何缓解此漏洞？我是否应该担心自己的密钥或其他私人数据遭到破坏？我还要关注其他哪些副作用？

204 security  openssl  heartbleed 

我一直在寻找一种可靠且可移植的方法来检查GNU / Linux和其他系统上的OpenSSL版本，因此用户可以轻松地发现由于Heartbleed错误而应该升级自己的SSL。 我以为这很容易，但是我很快在Ubuntu 12.04 LTS上遇到了最新的OpenSSL 1.0.1g问题： openssl版本-a 我原本希望看到完整版本，但我得到了： OpenSSL 1.0.1 2012年3月14日 建立于：2013年6月4日星期二07:26:06 平台：[...] 令我不愉快的是，没有显示版本字母。没有f，没有g，只有“ 1.0.1”就这样。列出的日期也无助于发现（非）漏洞版本。 1.0.1（af）和1.0.1g之间的差异至关重要。 问题： 检查版本（最好是跨发行版）的可靠方法是什么？ 为什么没有显示版本号？除了Ubuntu 12.04 LTS之外，我无法在其他任何产品上进行测试。 其他人也报告了此行为。一些例子： https://twitter.com/orblivion/status/453323034955223040 https://twitter.com/axiomsofchoice/status/453309436816535554 一些（特定于发行版的）建议在其中推出： Ubuntu和Debian：apt-cache policy openssl和apt-cache policy libssl1.0.0。在此处将版本号与软件包进行比较：http : //www.ubuntu.com/usn/usn-2165-1/ Fedora 20 ：（yum info openssl感谢@znmeb在Twitter上）和yum info openssl-libs 检查旧版本的OpenSSL是否仍然存在： 它并不完全可靠，但是您可以尝试lsof -n | grep ssl | grep DEL。请参阅Heartbleed：如何可靠且可移植地检查OpenSSL版本？为什么这可能对您不起作用。 事实证明，在Ubuntu和Debian上更新OpenSSL软件包并不总是足够的。您还应该更新libssl1.0.0软件包，然后-then-检查是否openssl …

88 linux  ubuntu  security  openssl  heartbleed 

OpenSSL的“心脏出血”漏洞（CVE-2014-0160）影响服务HTTPS的Web服务器。其他服务也使用OpenSSL。这些服务是否还容易遭受类似流血的数据泄漏？ 我特别在想 sshd 安全SMTP，IMAP等-dovecot，exim和postfix VPN服务器-OpenVPN和朋友 至少在我的系统上，所有这些都链接到OpenSSL库。

65 security  openssl  heartbleed 

我有一个Ubuntu 12.04服务器。我已更新OpenSSL软件包以修复令人讨厌的漏洞。但是，即使我重新启动了Web服务器，甚至整个服务器，我仍然容易受到攻击。 要检查我的漏洞，我使用了： http://www.exploit-db.com/exploits/32745/ http://filippo.io/Heartbleed dpkg给出： dpkg -l |grep openssl ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools （launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12）

28 ubuntu  nginx  security  openssl  heartbleed 

最近发现的令人讨厌的漏洞已促使证书颁发机构重新颁发证书。 在发现流血的漏洞之前，我已经生成了两个证书。SSL发行者告诉我重新生成证书后，我已经用新证书更新了两个服务器/域。 如果我的理解是正确的，则旧证书应已由CA吊销，并且应已加入CRL（证书吊销列表）或OCSP数据库（在线证书状态协议），否则从技术上讲，某人可以执行“攻击中的“攻击者”，即从受感染证书中获取的信息中重新生成证书。 有没有办法检查我的旧证书是否已达到CRL和OCSP。如果没有，没有办法让他们加入进来吗？ 更新：这种情况是我已经替换了我的证书，我所拥有的只是旧证书的.crt文件，因此使用url进行检查实际上是不可能的。

23 linux  ssl  heartbleed  crl  ocsp 

Heartbleed OpenSSL漏洞（http://heartbleed.com/）影响OpenSSL 1.0.1到1.0.1f（包括1.0.1f） 我使用Amazon Elastic Load Balancer终止我的SSL连接。ELB容易受到攻击吗？

19 amazon-web-services  openssl  amazon-elb  heartbleed 

我想在为团队网络安全挑战而设置的服务器上编译并安装Heartbleed易受攻击的OpenSSL版本（因为显而易见的原因，这些文件无法从Ubuntu的存储库中安装）。 我使用提供的说明（run ./config，then make和make install）从源OpenSSL 1.0.1f下载并进行了编译，并尝试从PC 上运行来自GitHub的公开可用的Heartbleed POC ，但是该脚本使我不知所措，没有收到任何心跳响应，并且服务器可能不容易受到攻击。 运行openssl version产生以下输出：OpenSSL 1.0.1f 2014年1月6日。我当然安装了SSL证书，并且SSL访问可以在服务器上进行。 已安装OpenSSL以与Apache 2.4.7一起使用。 有人可以帮忙吗？

9 openssl  heartbleed 

我已经用补丁更新了我的服务器。 我是否需要重新生成有关OpenSSH的私钥？我知道我必须重新生成任何SSL证书。 编辑：我的措词不够准确。我知道该漏洞存在于openssl中，但我想知道这对openssh有何影响，以及是否需要重新生成openssh主机密钥。

9 ssh  heartbleed 

我刚刚将我的debian wheezy服务器更新为openssl软件包的最新版本，该版本已修复了流血的错误。 我的服务器上确实支持SSL，但仅带有蛇油证书。我只是想知道是否真的还有关于更新蛇油证书的安全问题，或者我是否可以直接保留它，因为它仍然是蛇油证书？ 这个问题可能是由于我对ssl缺乏了解...但是在此先感谢您作出任何解释，如果我应该更改我的蛇油证书，是的话，为什么:)

8 ssl-certificate  openssl  heartbleed