Як встановити вразливу версію OpenSSL на сервері Linux?

Я хотів би скомпілювати та встановити вразливу до Heartbleed версію OpenSSL на сервері, який я встановлюю для завдання командної веб-безпеки (оскільки вони не доступні для встановлення з сховища Ubuntu з зрозумілих причин).

Я завантажив і компілював з джерела OpenSSL 1.0.1f, використовуючи надані інструкції (запустіть ./config, потім makeі make install), і спробував запустити відкритий доступний сервер POC від GitHub з мого ПК, проте сценарій не повідомляє мене про те, що жодної відповіді на серцебиття не отримано, і сервер, швидше за все, не вразливий.

Запуск openssl versionпроводить наступний висновок: OpenSSL 1.0.1f 6 Січня 2014 . Я встановив SSL сертифікат, звичайно, і доступ до SSL працює на сервері.

OpenSSL встановлюється для роботи з Apache 2.4.7.

Хтось може допомогти?

Тут можуть тривати дві речі:

1. Просте "./configure; make; make install" за замовчуванням розмістить спільні бібліотеки в /usr/local/lib. Однак бібліотеки, встановлені системою, будуть знаходитись /usr/lib, що з’являється раніше на шляху пошуку бібліотеки. Якщо ви не видалите встановлену системою версію OpenSSL, вразлива версія не буде знайдена.

2. Навіть якщо ви перезаписуєте системні бібліотеки, зміни не будуть сприйняті, поки ви не перезапустите Apache. Видалені файли залишаються доступними (і займають місце на диску), поки всі програми, у яких є відкриті файлові файли, закриють ці файлові файли.

Яке серверне програмне забезпечення використовується?

Незважаючи на те, що бінарний файл OpenSSL є вразливим, встановлений веб-сервер із пакета ОС, ймовірно, використовує бібліотечну версію, яка не є вразливою.

Найпростішим способом залучити вразливого слухача буде openssl s_server- якщо вам потрібен повний веб-сервер, щоб бути вразливим, вам, швидше за все, потрібно буде компілювати проти вразливого OpenSSL.