Ubuntu

即使我更新了 OpenSSL,我的伺服器仍然容易受到心臟出血的影響

  • April 10, 2014

我有一個 Ubuntu 12.04 伺服器。我已經更新了OpenSSL軟體包以修復 heartbleed 漏洞。但是即使我重新啟動了 Web 伺服器,甚至整個伺服器,我仍然很容易受到攻擊。

為了檢查我的漏洞,我使用了:

dpkg 給出:

dpkg -l |grep openssl
ii  openssl  1.0.1-4ubuntu5.12   Secure Socket Layer (SSL) binary and related cryptographic tools

(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

確保libssl1.0.0軟體包也已更新(該軟體包包含實際庫,該openssl軟體包包含工具)並且所有使用該庫的服務已在升級後重新啟動。

您必須使用 openssl 重新啟動所有服務(服務 apache 重新啟動)。

根據常見問題解答,您可能是誤報案例:

我收到誤報(紅色)!

小心,除非你在網站上敲擊按鈕時出現故障,否則我無法認為紅色不是紅色。

檢查記憶體轉儲,如果它在那裡,那麼該工具從某個地方得到它。

假設我有 99% 的把握,如果您在正確更新後重新啟動所有程序,您應該看起來會更好。

更新:仍然,我不斷收到關於未受影響版本變紅的報告。如果您受到影響,請對問題發表評論。我正在尋找 3 件事:記憶體轉儲(以找出它們來自哪裡)、時間戳(盡可能準確,嘗試使用“網路”選項卡)、對您點擊和輸入的內容的完整描述。

您可以使用SSLLabs等其他工具測試您的網站,看看您是否仍被報告為易受攻擊。

您還應該如上所述使用http://filippo.io/Heartbleed測試儀報告問題。

引用自:https://serverfault.com/questions/587551