Ubuntu
我有 OpenSSL 1.0.1g 但我的網站仍然容易受到攻擊?
我已經更新了我的 Ubuntu 伺服器以使用 OpenSSL 1.0.1g,當我執行 sudo openssl version -a 我得到 OpenSSL 1.0.1g 2014 年 4 月 7 日建立在:Sat Apr 19 14:15:45 UTC 2014 平台:linux-elf
但是,像https://filippo.io/Heartbleed/這樣的網站仍然將我的網站返回為易受 Heartbleed 的攻擊。我已經重新啟動了伺服器,不知道我還需要做什麼。
有沒有辦法找到任何目前正在執行且易受 Hearbleed 安全問題影響的服務?
還有其他人有這個問題嗎?
我可以想到一些會導致這種情況的問題:
- 可能是某種形式的記憶體問題,不確定您的網站上是否啟用了任何記憶體,但我會在那裡查看。
- Apache 是在較舊的 OpenSSL 版本上建構的。在這種情況下,您需要重新編譯它,或者根據作業系統使用 yum/apt-get 將其刪除並重新安裝。
- 您是否記得在更改為 OpenSSL 後重新啟動 Apache?
如果您提供更多詳細資訊,我可能會提供進一步的幫助。
如果您有一個正在執行的服務,即主動使用易受攻擊的 openssl 版本,則可以利用 Heartbleed。
這可能是提供 https 的服務。在修復了 openssl-stack(就像您嘗試做的那樣)並在驗證服務之後(就像您所做的那樣),在您不再易受攻擊之後,最後一步是將所有涉及的密鑰視為已洩露。
那就是:將它們標記為妥協並獲得新的。