1
DearMark 2014-04-08 12:38:51 +08:00
get it
|
2
Livid MOD apt-get update
apt-get install libssl1.0.0 libssl-dev |
3
aliuwr 2014-04-08 13:28:01 +08:00
根据 Bug 描述, 可以重复读取 64K 内存, 直到攻击者获取到想要的数据.
|
4
LazyZhu 2014-04-08 14:21:04 +08:00
|
5
nichan 2014-04-08 15:52:23 +08:00
是不是说我需要更换vps的密钥文件了?
|
6
mumchristmas 2014-04-08 16:31:15 +08:00
@Livid 这次不只升级库这么简单了,目前所有在1.0.1下运作的SSL证书全都要更换,heartbleed攻击不会在服务器端留下任何log痕迹。
有人评价这是计算机安全领域出现过的影响力最大的bug。 |
7
sdysj 2014-04-08 17:20:32 +08:00
哈哈,这下SSL该毁了,大站私钥都得换了。
|
8
cax0ch 2014-04-08 17:32:36 +08:00
还没看这个问题,得研究下
|
9
mumchristmas 2014-04-08 18:10:48 +08:00
|
10
MrMario 2014-04-08 18:14:33 +08:00
昨儿刚编译安装好1.0.1f ,唉 ╮(╯▽╰)╭
|
11
66CCFF 2014-04-08 18:20:33 +08:00
还好证书还没来得及用= =
|
12
sanddudu 2014-04-08 18:22:50 +08:00
@mumchristmas
这个漏洞目前只在 1.0.1g 修复了,beta 版本要 1.0.2-beta2 才会修复这个漏洞,目前还没出 临时的解决方案是重新编译时带上 -DOPENSSL_NO_HEARTBEATS 参数 http://www.openssl.org/news/secadv_20140407.txt 另外更换秘钥是为了保险,如果没有遭受攻击,不一定要更换秘钥 |
15
humiaozuzu 2014-04-08 19:35:52 +08:00
公钥认证的会受到影响吗
|
16
lightening 2014-04-08 20:02:34 +08:00
我们用的 Ubuntu 12.04 LTS 太老了,没有受这个 bug 影响……
|
17
Semidio 2014-04-08 20:15:45 +08:00
|
18
mumchristmas 2014-04-08 20:16:12 +08:00
@sanddudu 在没有证据证明未遭受攻击的情况下,基于信息安全原则,需视同已遭受攻击的情况进行处理。
|
19
046569 2014-04-08 20:20:24 +08:00
@lightening
表示Debian squeeze也被漏洞无视了... |
21
sobigfish 2014-04-08 20:27:37 +08:00
@zdf
apt-get update apt-get upgrade 也是可以的, (至少我这)debian更新了 libssl-dev libssl-doc libssl1.0.0 openssh-client openssh-server openssl ssh |
22
panlilu 2014-04-08 20:30:47 +08:00
我试了一下某网站,直接跑出了明文的密码,太恐怖了- -。
|
23
sobigfish 2014-04-08 21:19:30 +08:00
www.booking.com IS VULNERABLE.
-.- 果然这家真是不注重安全。 |
25
txlty 2014-04-08 23:58:22 +08:00
|
26
niseter 2014-04-09 00:09:23 +08:00
@mumchristmas 你这是个空文件?
|
28
mumchristmas 2014-04-09 00:24:54 +08:00
@niseter 已经被删除了:(
|
29
niseter 2014-04-09 00:56:47 +08:00
@mumchristmas 能麻烦你发一份给我吗?谢谢。 happy(dot)country(at)gmail
|
31
bigredapple 2014-04-09 09:12:22 +08:00
yum -y update 已经修复
|
33
Ever 2014-04-09 09:26:19 +08:00
别光用apt或者yum更新ssl, lsof一下看看都谁在调用的手动重启下相应进程。
|
34
sNullp 2014-04-09 10:10:08 +08:00
@Semidio 对,证书已泄漏的话需要更换证书,用户数据泄漏需要提醒用户修改之类的。。但是这还是不能解释为什么软件需要重新编译啊
|
35
HowardMei 2014-04-09 10:34:48 +08:00
Ubuntu 14.04LTS Beta 没在列表上,看来是时候升级了
科学和工程的差别就在这里,科学总是严密的,工程则自带各种缺陷~~~ |
36
glasslion 2014-04-09 10:48:20 +08:00
Happy 0-day to you
Happy 0-day to you Happy 0-day dear netizens Happy 0-day to you! |
37
zdf 2014-04-09 12:47:37 +08:00 via iPhone
我用apt更新后显示还是1.0.1c,用那个网站检测提示没问题了,这是什么情况?系统为Ubuntu12.10。
|
39
akann 2014-04-09 15:25:28 +08:00
@zdf 他这个虽然名字叫1.0.1c但实际上已经修复了这个Heartbleed bug了,参看 https://launchpad.net/ubuntu/+source/openssl/1.0.1c-3ubuntu2.7
SECURITY UPDATE: memory disclosure in TLS heartbeat extension - debian/patches/CVE-2014-0160.patch: use correct lengths in ssl/d1_both.c, ssl/t1_lib.c. - CVE-2014-0160 这个d1_both.c的修改是关键啊。 |
40
aliuwr 2014-05-09 14:49:07 +08:00
@Livid 我总感觉 V2EX 的通知系统大部分时候对我都没用,没有回复提醒。是因为我回复不够活跃吗?
@txlty 如果你用这个私钥登录过系统,内存中就可能有私钥的数据,就可能被窃取了。。 |