Що мені робити з помилкою Heartbleed для сайтів, на яких я запускаюсь?

Нещодавно оголошена помилка Heartbleed у OpenSSL впливає на багато сайтів (70% Інтернету).

Є веб-сайт:

http://www.heartbleed.com

Існує веб-тест:

http://filippo.io/Heartbleed/

Що мені робити, щоб захистити сайти, якими я керую?

openssl heartbleed

— Метт Крейкшанк
джерело

Краще відповідь на помилку сервера - Heartbleed: Що це таке та які варіанти його пом’якшення?

— Сатьядхіт Бхат

… А також StackExchange для професіоналів із безпеки. Див. Сторінку security.stackexchange.com/questions/55076 та security.stackexchange.com/questions/tagged/heartbleed .

— JdeBP

У кожного головного веб-сайту, пов’язаного з комп’ютером SE, зараз виникає це питання ... Напевно, скоро його зададуть навіть на cooking.stackexchange.com : D

— VL-80

Я додав версію цього питання для кінцевого користувача на веб-сайті superuser.com/questions/739260/… (але хтось уже його спростував, без пояснень).

— Данортон

@Nikolay, зараз я так спокусився запитати це на cooking.se ...

— Джо

Відповіді:

Ти повинен:

Оновіть систему до останньої версії OpenSSL
Створіть нові ключі та сертифікати для служб, що спираються на OpenSSL, та перезавантажте їх
Відкликати колишні сертифікати
Недійсні всі встановлені сеанси

— Виконавці
джерело

Я не думаю, що ви знаєте якісь чіткі чіткі інструкції за останні три кроки, чи не так?

— Пол Д. Уейт

Відкликання та відновлення виробничих сертифікатів, як правило, включає будь-який процес у вашому КА. Оскільки це варіюється від одного до іншого ...

— Роджер Ліпскомб

Як оновити систему, залежить від вашого менеджера пакунків. Недійсні сеанси залежать від програми. Що стосується сертифікатів, то ви повинні будете звернутися до CA , але перший крок повинен буде ввести новий код і CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!

— Виконавці

Вкрадено з коментаря reddit.

Оновіть систему:

sudo apt-get update
sudo apt-get upgrade

Перезавантажте сервер
openssl version -a щоб переконатися, що у вас є остання версія !!

— Метт Крейкшанк
джерело

ОП постачає!

— Я Джон Гальт

@IamJohnGalt Це не так, як це заблокований сейф чи щось таке. ;)

— Ƭᴇcʜιᴇ007

Це НЕ достатньо. Ключі SSL потрібно замінити, не роблячи те, що патч все ще залишить вас вразливими до крадіжок минулого.

— Кієотичний

Це передбачає, що ваша система використовується apt-getяк менеджер пакунків. Питання не говорить про те, що це обов'язково так.

— Майкл

Більш конкретно для Ubuntu або Debian взагалі

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Посилання http://www.ubuntu.com/usn/usn-2165-1/

— rleir
джерело