Ubuntu
即使我更新了 OpenSSL,我的伺服器仍然容易受到心臟出血的影響
我有一個 Ubuntu 12.04 伺服器。我已經更新了
OpenSSL
軟體包以修復 heartbleed 漏洞。但是即使我重新啟動了 Web 伺服器,甚至整個伺服器,我仍然很容易受到攻擊。為了檢查我的漏洞,我使用了:
dpkg 給出:
dpkg -l |grep openssl ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)
確保
libssl1.0.0
軟體包也已更新(該軟體包包含實際庫,該openssl
軟體包包含工具)並且所有使用該庫的服務已在升級後重新啟動。您必須使用 openssl 重新啟動所有服務(服務 apache 重新啟動)。
根據常見問題解答,您可能是誤報案例:
我收到誤報(紅色)!
小心,除非你在網站上敲擊按鈕時出現故障,否則我無法認為紅色不是紅色。
檢查記憶體轉儲,如果它在那裡,那麼該工具從某個地方得到它。
假設我有 99% 的把握,如果您在正確更新後重新啟動所有程序,您應該看起來會更好。
更新:仍然,我不斷收到關於未受影響版本變紅的報告。如果您受到影響,請對問題發表評論。我正在尋找 3 件事:記憶體轉儲(以找出它們來自哪裡)、時間戳(盡可能準確,嘗試使用“網路”選項卡)、對您點擊和輸入的內容的完整描述。
您可以使用SSLLabs等其他工具測試您的網站,看看您是否仍被報告為易受攻擊。
您還應該如上所述使用http://filippo.io/Heartbleed測試儀報告問題。