这是一个创建于 4270 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 2014-04-09 09:21:44 +08:00
一。关于Heartbleed 漏洞测试工具:
1. FiloSottile/Heartbleed (需要安装Go)
https://github.com/FiloSottile/Heartbleed
2. titanous/heartbleeder(需要安装Go)
https://github.com/titanous/heartbleeder
3. emboss/heartbeat(需要安装Ruby)
https://github.com/emboss/heartbeat
二。关于Ubuntu系统的不同版本的修复说明
http://www.ubuntu.com/usn/usn-2165-1/
1. FiloSottile/Heartbleed (需要安装Go)
https://github.com/FiloSottile/Heartbleed
2. titanous/heartbleeder(需要安装Go)
https://github.com/titanous/heartbleeder
3. emboss/heartbeat(需要安装Ruby)
https://github.com/emboss/heartbeat
二。关于Ubuntu系统的不同版本的修复说明
http://www.ubuntu.com/usn/usn-2165-1/
第 2 条附言 2014-04-09 14:35:18 +08:00
来自下午1点多的 [阿里安全] 的官方微博的公告: [阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。] ,要改密码的赶紧可以改了
 | 1 DearMark 2014-04-08 12:38:51 +08:00 get it |
 | 2 Livid MOD PRO  1 apt-get update apt-get install libssl1.0.0 libssl-dev |
 | 3 aliuwr 2014-04-08 13:28:01 +08:00 根据 Bug 描述, 可以重复读取 64K 内存, 直到攻击者获取到想要的数据. |
 | 4 LazyZhu 2014-04-08 14:21:04 +08:00 |
 | 5 nichan/a> 2014-04-08 15:52:23 +08:00 是不是说我需要更换vps的密钥文件了? |
 | 6 mumchristmas 2014-04-08 16:31:15 +08:00 @Livid 这次不只升级库这么简单了,目前所有在1.0.1下运作的SSL证书全都要更换,heartbleed攻击不会在服务器端留下任何log痕迹。 有人评价这是计算机安全领域出现过的影响力最大的bug。 |
 | 7 sdysj 2014-04-08 17:20:32 +08:00 哈哈,这下SSL该毁了,大站私钥都得换了。 |
 | 8 cax0ch 2014-04-08 17:32:36 +08:00 还没看这个问题,得研究下 |
| 9 mumchristmas 2014-04-08 18:10:48 +08:00 |
 | 10 MrMario 2014-04-08 18:14:33 +08:00 昨儿刚编译安装好1.0.1f ,唉 () |
 | 11 66CCFF 2014-04-08 18:20:33 +08:00 还好证书还没来得及用= = |
 | 12 sanddudu 2014-04-08 18:22:50 +08:00 @mumchristmas 这个漏洞目前只在 1.0.1g 修复了,beta 版本要 1.0.2-beta2 才会修复这个漏洞,目前还没出 临时的解决方案是重新编译时带上 -DOPENSSL_NO_HEARTBEATS 参数 http://www.openssl.org/news/secadv_20140407.txt 另外更换秘钥是为了保险,如果没有遭受攻击,不一定要更换秘钥 |
 | 15 humiaozuzu 2014-04-08 19:35:52 +08:00 公钥认证的会受到影响吗 |
 | 16 lightening 2014-04-08 20:02:34 +08:00 我们用的 Ubuntu 12.04 LTS 太老了,没有受这个 bug 影响…… |
 | 17 Semidio 2014-04-08 20:15:45 +08:00 |
| 18 mumchristmas 2014-04-08 20:16:12 +08:00 @sanddudu 在没有证据证明未遭受攻击的情况下,基于信息安全原则,需视同已遭受攻击的情况进行处理。 |
 | 19 046569 2014-04-08 20:20:24 +08:00 @lightening 表示Debian squeeze也被漏洞无视了... |
 | 21 run2 2014-04-08 20:27:37 +08:00 @zdf apt-get update apt-get upgrade 也是可以的, (至少我这)debian更新了 libssl-dev libssl-doc libssl1.0.0 openssh-client openssh-server openssl ssh |
 | 22 panlilu 2014-04-08 20:30:47 +08:00 我试了一下某网站,直接跑出了明文的密码,太恐怖了- -。 |
| 23 run2 2014-04-08 21:19:30 +08:00 www.booking.com IS VULNERABLE. -.- 果然这家真是不注重安全。 |
 | 25 txlty 2014-04-08 23:58:22 +08:00 |
 | 26 niseter 2014-04-09 00:09:23 +08:00 @mumchristmas 你这是个空文件? |
| 28 mumchristmas 2014-04-09 00:24:54 +08:00 @niseter 已经被删除了:( |
| 29 niseter 2014-04-09 00:56:47 +08:00 @mumchristmas 能麻烦你发一份给我吗?谢谢。 happy(dot)country(at)gmail |
 | 31 bigredapple 2014-04-09 09:12:22 +08:00 yum -y update 已经修复 |
 | 33 Ever 2014-04-09 09:26:19 +08:00 别光用apt或者yum更新ssl, lsof一下看看都谁在调用的手动重启下相应进程。 |
 | 34 sNullp 2014-04-09 10:10:08 +08:00 @Semidio 对,证书已泄漏的话需要更换证书,用户数据泄漏需要提醒用户修改之类的。。但是这还是不能解释为什么软件需要重新编译啊 |
 | 35 HowardMei 2014-04-09 10:34:48 +08:00 Ubuntu 14.04LTS Beta 没在列表上,看来是时候升级了 科学和工程的差别就在这里,科学总是严密的,工程则自带各种缺陷~~~ |
 | 36 glasslion 2014-04-09 10:48:20 +08:00 Happy 0-day to you Happy 0-day to you Happy 0-day dear netizens Happy 0-day to you! |
 | 37 zdf 2014-04-09 12:47:37 +08:00 via iPhone 我用apt更新后显示还是1.0.1c,用那个网站检测提示没问题了,这是什么情况?系统为Ubuntu12.10。 |
 | 39 akann 2014-04-09 15:25:28 +08:00 @zdf 他这个虽然名字叫1.0.1c但实际上已经修复了这个Heartbleed bug了,参看 https://launchpad.net/ubuntu/+source/openssl/1.0.1c-3ubuntu2.7 SECURITY UPDATE: memory disclosure in TLS heartbeat extension - debian/patches/CVE-2014-0160.patch: use correct lengths in ssl/d1_both.c, ssl/t1_lib.c. - CVE-2014-0160 这个d1_both.c的修改是关键啊。 |
| 40 aliuwr 2014-05-09 14:49:07 +08:00 @Livid 我总感觉 V2EX 的通知系统大部分时候对我都没用,没有回复提醒。是因为我回复不够活跃吗? @txlty 如果你用这个私钥登录过系统,内存中就可能有私钥的数据,就可能被窃取了。。 |
Select Language