V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
anjunecha
V2EX  ›  信息安全

OpenSSL 严重 bug 允许攻击者读取 64k 内存,Debian 半小时修复

  •  
  •   anjunecha · 2014-04-08 12:05:06 +08:00 · 7590 次点击
    这是一个创建于 3866 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2014-04-09 09:21:44 +08:00
    一。关于Heartbleed 漏洞测试工具:

    1. FiloSottile/Heartbleed (需要安装Go)

    https://github.com/FiloSottile/Heartbleed

    2. titanous/heartbleeder(需要安装Go)

    https://github.com/titanous/heartbleeder

    3. emboss/heartbeat(需要安装Ruby)

    https://github.com/emboss/heartbeat


    二。关于Ubuntu系统的不同版本的修复说明

    http://www.ubuntu.com/usn/usn-2165-1/
    第 2 条附言  ·  2014-04-09 14:35:18 +08:00
    来自下午1点多的 [阿里安全] 的官方微博的公告: [阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。] ,要改密码的赶紧可以改了
    40 条回复    2014-05-09 14:49:07 +08:00
    DearMark
        1
    DearMark  
       2014-04-08 12:38:51 +08:00
    get it
    Livid
        2
    Livid  
    MOD
       2014-04-08 12:40:40 +08:00   ❤️ 1
    apt-get update
    apt-get install libssl1.0.0 libssl-dev
    aliuwr
        3
    aliuwr  
       2014-04-08 13:28:01 +08:00
    根据 Bug 描述, 可以重复读取 64K 内存, 直到攻击者获取到想要的数据.
    nichan
        5
    nichan  
       2014-04-08 15:52:23 +08:00
    是不是说我需要更换vps的密钥文件了?
    mumchristmas
        6
    mumchristmas  
       2014-04-08 16:31:15 +08:00
    @Livid 这次不只升级库这么简单了,目前所有在1.0.1下运作的SSL证书全都要更换,heartbleed攻击不会在服务器端留下任何log痕迹。

    有人评价这是计算机安全领域出现过的影响力最大的bug。
    sdysj
        7
    sdysj  
       2014-04-08 17:20:32 +08:00
    哈哈,这下SSL该毁了,大站私钥都得换了。
    cax0ch
        8
    cax0ch  
       2014-04-08 17:32:36 +08:00
    还没看这个问题,得研究下
    mumchristmas
        9
    mumchristmas  
       2014-04-08 18:10:48 +08:00
    MrMario
        10
    MrMario  
       2014-04-08 18:14:33 +08:00
    昨儿刚编译安装好1.0.1f ,唉 ╮(╯▽╰)╭
    66CCFF
        11
    66CCFF  
       2014-04-08 18:20:33 +08:00
    还好证书还没来得及用= =
    sanddudu
        12
    sanddudu  
       2014-04-08 18:22:50 +08:00
    @mumchristmas
    这个漏洞目前只在 1.0.1g 修复了,beta 版本要 1.0.2-beta2 才会修复这个漏洞,目前还没出
    临时的解决方案是重新编译时带上 -DOPENSSL_NO_HEARTBEATS 参数
    http://www.openssl.org/news/secadv_20140407.txt
    另外更换秘钥是为了保险,如果没有遭受攻击,不一定要更换秘钥
    zdf
        13
    zdf  
       2014-04-08 18:47:10 +08:00
    @sanddudu 是不是如果没有遭受攻击的则只需要按照Livid那样更新即可?
    a2z
        14
    a2z  
       2014-04-08 18:59:33 +08:00
    @sanddudu
    g也没修复,用旧版openssl库编译的东西都要重新编译……坑爹
    humiaozuzu
        15
    humiaozuzu  
       2014-04-08 19:35:52 +08:00
    公钥认证的会受到影响吗
    lightening
        16
    lightening  
       2014-04-08 20:02:34 +08:00
    我们用的 Ubuntu 12.04 LTS 太老了,没有受这个 bug 影响……
    Semidio
        17
    Semidio  
       2014-04-08 20:15:45 +08:00
    mumchristmas
        18
    mumchristmas  
       2014-04-08 20:16:12 +08:00
    @sanddudu 在没有证据证明未遭受攻击的情况下,基于信息安全原则,需视同已遭受攻击的情况进行处理。
    046569
        19
    046569  
       2014-04-08 20:20:24 +08:00
    @lightening
    表示Debian squeeze也被漏洞无视了...
    sinxccc
        20
    sinxccc  
       2014-04-08 20:22:51 +08:00
    @sanddudu 但问题是你不知道有没有被攻击…
    sobigfish
        21
    sobigfish  
       2014-04-08 20:27:37 +08:00
    @zdf
    apt-get update
    apt-get upgrade 也是可以的,
    (至少我这)debian更新了 libssl-dev libssl-doc libssl1.0.0 openssh-client openssh-server openssl ssh
    panlilu
        22
    panlilu  
       2014-04-08 20:30:47 +08:00
    我试了一下某网站,直接跑出了明文的密码,太恐怖了- -。
    sobigfish
        23
    sobigfish  
       2014-04-08 21:19:30 +08:00
    www.booking.com IS VULNERABLE.
    -.- 果然这家真是不注重安全。
    sanddudu
        24
    sanddudu  
       2014-04-08 21:20:44 +08:00
    @a2z 我现在更新到g,检测说修复了
    官方也说升级到g
    txlty
        25
    txlty  
       2014-04-08 23:58:22 +08:00
    @aliuwr @Livid @mumchristmas @sdysj @Semidio @panlilu
    是不是准确点描述,应该叫“远程https内存泄漏漏洞”?凡是可能出现在内存的数据都不再安全了?比如post上来赋值给变量的用户名、密码?
    那么我有一个openssl命令生成的私钥,私钥从未放在服务器上。服务器里只有公钥。那么这对密钥应该不受此漏洞影响,可以继续使用吧?
    niseter
        26
    niseter  
       2014-04-09 00:09:23 +08:00
    @mumchristmas 你这是个空文件?
    sNullp
        27
    sNullp  
       2014-04-09 00:16:37 +08:00
    @a2z 从具体漏洞的情况来看,只是libssl中的逻辑有问题,为什么“用旧版openssl库编译的东西都要重新编译”?
    mumchristmas
        28
    mumchristmas  
       2014-04-09 00:24:54 +08:00
    @niseter 已经被删除了:(
    niseter
        29
    niseter  
       2014-04-09 00:56:47 +08:00
    @mumchristmas 能麻烦你发一份给我吗?谢谢。 happy(dot)country(at)gmail
    baichi
        30
    baichi  
       2014-04-09 01:02:15 +08:00
    @niseter google快照里可以看到
    bigredapple
        31
    bigredapple  
       2014-04-09 09:12:22 +08:00
    yum -y update 已经修复
    Semidio
        32
    Semidio  
       2014-04-09 09:24:56 +08:00 via iPhone
    @sNullp 应该是有可能已经泄露的原因吧?
    Ever
        33
    Ever  
       2014-04-09 09:26:19 +08:00
    别光用apt或者yum更新ssl, lsof一下看看都谁在调用的手动重启下相应进程。
    sNullp
        34
    sNullp  
       2014-04-09 10:10:08 +08:00
    @Semidio 对,证书已泄漏的话需要更换证书,用户数据泄漏需要提醒用户修改之类的。。但是这还是不能解释为什么软件需要重新编译啊
    HowardMei
        35
    HowardMei  
       2014-04-09 10:34:48 +08:00
    Ubuntu 14.04LTS Beta 没在列表上,看来是时候升级了
    科学和工程的差别就在这里,科学总是严密的,工程则自带各种缺陷~~~
    glasslion
        36
    glasslion  
       2014-04-09 10:48:20 +08:00
    Happy 0-day to you
    Happy 0-day to you
    Happy 0-day dear netizens
    Happy 0-day to you!
    zdf
        37
    zdf  
       2014-04-09 12:47:37 +08:00 via iPhone
    我用apt更新后显示还是1.0.1c,用那个网站检测提示没问题了,这是什么情况?系统为Ubuntu12.10。
    anjunecha
        38
    anjunecha  
    OP
       2014-04-09 14:15:41 +08:00
    @zdf 执行openssl version然后上张图来看看,
    akann
        39
    akann  
       2014-04-09 15:25:28 +08:00
    @zdf 他这个虽然名字叫1.0.1c但实际上已经修复了这个Heartbleed bug了,参看 https://launchpad.net/ubuntu/+source/openssl/1.0.1c-3ubuntu2.7
    SECURITY UPDATE: memory disclosure in TLS heartbeat extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
    ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160
    这个d1_both.c的修改是关键啊。
    aliuwr
        40
    aliuwr  
       2014-05-09 14:49:07 +08:00
    @Livid 我总感觉 V2EX 的通知系统大部分时候对我都没用,没有回复提醒。是因为我回复不够活跃吗?
    @txlty 如果你用这个私钥登录过系统,内存中就可能有私钥的数据,就可能被窃取了。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3445 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:45 · PVG 18:45 · LAX 02:45 · JFK 05:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.