即使在更新OpenSSL之后,我的服务器仍然很容易受到伤害

我有一个Ubuntu 12.04服务器。 我已经更新了OpenSSL软件包,以修复令人心碎的漏洞。 但即使我已经重新启动了Web服务器,甚至整个服务器,我仍然很容易受到攻击。

为了检查我使用的漏洞:

  • http://www.exploit-db.com/exploits/32745/
  • http://filippo.io/Heartbleed

dpkg给出:

 dpkg -l |grep openssl ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools 

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

确保libssl1.0.0软件包已经更新(该软件包包含实际的库, openssl软件包包含这些工具),并且所有使用该库的服务都在升级后重新启动。

您必须使用openssl(service apache restart)重新启动所有服务。

根据常见问题解答 ,您可能是假阳性案例:

我得到误报(红色)!

要小心,除非你现场锤击button,否则我不能想到一个红色不是红色的。

检查内存转储,如果存在,那么该工具从某个地方得到它。

比方说,如果在正确更新后重新启动所有进程,我99%确定应该看起来更好。

更新:仍然,我得到一致的报告未受影响的版本变红。 如果您受到影响,请对此问题发表评论 。 我正在寻找3件事:内存转储(找出它们来自哪里),时间戳(尽可能准确,尝试使用networking标签),一个完整的描述你点击和键入。

您可以使用SSLLabs等其他工具来testing您的网站,并查看您是否仍然被报告为易受攻击的网站。
您还应该如上所述使用http://filippo.io/Heartbleedtesting人员报告问题。

如果你碰巧正在运行mod_spdy,请确保你更新了你的mod_spdy安装。 有关详细信息,请参阅https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU 。 你需要升级mod_spdy deb或者完全删除以前的版本。

你可能有一个在443上有一个静态链接的openssl库的程序。 这意味着程序有自己的openssl打包 – 更新这个程序呢! 如果不可用,请立即通知供应商并尽可能暂停此应用程序!

您可能遇到FAQ页面上列出的错误。 看起来,在某些情况下,即使在打补丁的系统上,你也可以得到一个易受攻击的通知。

我得到误报(红色)!

要小心,除非你现场锤击button,否则我不能想到一个红色不是红色的。 检查内存转储,如果存在,那么该工具从某个地方得到它。 比方说,如果在正确更新后重新启动所有进程,我99%确定应该看起来更好。

更新:仍然,我得到一致的报告未受影响的版本变红。 如果您受到影响,请对此问题发表评论。 我正在寻找3件事:内存转储(找出它们来自哪里),时间戳(尽可能准确,尝试使用networking标签),一个完整的描述你点击和键入。

我会build议用Qualys等替代testing进行testing,以确认您的系统不再易受攻击。 如果不是转到Github并报告。


它仍然是坏的

什么是? 你所说的“服务器”可能有一个静态链接的OpenSSl库。 这意味着即使您更新了系统,您的应用程序仍然处于危险之中! 您需要立即与软件供应商联系以获得补丁或closures服务,直到您完成。

是否真的必须禁用服务,直到补丁出来?

是的,运行易受攻击的服务对于可能的疏忽是非常危险的! 你可能会泄露任何服务器解密的数据,甚至不知道!

确保你的nginx使用系统库: http : //nginx.com/blog/nginx-and-the-heartbleed-vulnerability/

如果在443上运行的应用程序使用OpenSSL的静态库,这是非常可能的。 如果是这种情况,则必须将该应用程序更新为不再受到攻击。

我终于能够解决类似于OP的问题。 我的服务器是来自Bitnami的LAMP栈。 遵循这些指示:

 wget http://downloads.bitnami.com/files/download/opensslfixer/bitnami-opensslfixer-1.0.1g- 1-linux-x64-installer.run chmod 755 bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run ./bitnami-opensslfixer-1.0.1g-1-linux-x64-installer.run --forcefix 1 --forcelegacy 1 

http://community.bitnami.com/t/apache-error-after-the-recommended-heartbleed-patch/23530/9