Що мені робити з помилкою Heartbleed для сайтів, на яких я запускаюсь?


9

Нещодавно оголошена помилка Heartbleed у OpenSSL впливає на багато сайтів (70% Інтернету).

Є веб-сайт:

http://www.heartbleed.com

Існує веб-тест:

http://filippo.io/Heartbleed/

Що мені робити, щоб захистити сайти, якими я керую?



5
… А також StackExchange для професіоналів із безпеки. Див. Сторінку security.stackexchange.com/questions/55076 та security.stackexchange.com/questions/tagged/heartbleed .
JdeBP

4
У кожного головного веб-сайту, пов’язаного з комп’ютером SE, зараз виникає це питання ... Напевно, скоро його зададуть навіть на cooking.stackexchange.com : D
VL-80

Я додав версію цього питання для кінцевого користувача на веб-сайті superuser.com/questions/739260/… (але хтось уже його спростував, без пояснень).
Данортон

1
@Nikolay, зараз я так спокусився запитати це на cooking.se ...
Джо

Відповіді:


7

Ти повинен:

  • Оновіть систему до останньої версії OpenSSL
  • Створіть нові ключі та сертифікати для служб, що спираються на OpenSSL, та перезавантажте їх
  • Відкликати колишні сертифікати
  • Недійсні всі встановлені сеанси

Я не думаю, що ви знаєте якісь чіткі чіткі інструкції за останні три кроки, чи не так?
Пол Д. Уейт

Відкликання та відновлення виробничих сертифікатів, як правило, включає будь-який процес у вашому КА. Оскільки це варіюється від одного до іншого ...
Роджер Ліпскомб

Як оновити систему, залежить від вашого менеджера пакунків. Недійсні сеанси залежать від програми. Що стосується сертифікатів, то ви повинні будете звернутися до CA , але перший крок повинен буде ввести новий код і CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
Виконавці

4

Вкрадено з коментаря reddit.

  1. Оновіть систему:

    sudo apt-get update
    sudo apt-get upgrade
    
  2. Перезавантажте сервер

  3. openssl version -a щоб переконатися, що у вас є остання версія !!


ОП постачає!
Я Джон Гальт

1
@IamJohnGalt Це не так, як це заблокований сейф чи щось таке. ;)
Ƭᴇcʜιᴇ007

14
Це НЕ достатньо. Ключі SSL потрібно замінити, не роблячи те, що патч все ще залишить вас вразливими до крадіжок минулого.
Кієотичний

Це передбачає, що ваша система використовується apt-getяк менеджер пакунків. Питання не говорить про те, що це обов'язково так.
Майкл

0

Більш конкретно для Ubuntu або Debian взагалі

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Посилання http://www.ubuntu.com/usn/usn-2165-1/

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.