OpenSSL 爆發出嚴重的安全性漏洞, 請趕快檢測 + 升級.
OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測
關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own)
這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。
註: 此篇文章非常清楚說明問題、應對措施, 該如何做等等, 在此就不詳述, 只紀錄幾個要做的事情.
Debina / Ubuntu Linux 需要做的事情
- dpkg -l | grep openssl # 確認 OpenSSL 版本是否是 openssl 1.0.1e-2+deb7u4 (Debian Wheezy) / openssl 1.0.1-4ubuntu5.11 (Ubuntu 12.04)
- 使用下述檢測工具測試
- Heartbleed test: Test your server for Heartbleed (CVE-2014-0160)
- 自我測試工具: http://s3.jspenguin.org/ssltest.py或 備份, ex: python ssltest.py ifttt.com
- 檢測是否有問題:
- 有問題, 請到上述文章去看有哪些事情要作.
- 沒有問題, 請執行套件升級:
- apt-get update
- apt-get upgrade # 注意 openssl、libssl.
- 更新後的版本是:
- Debian Wheezy: openssl 1.0.1e-2+deb7u6
- Debian Jessie: openssl 1.0.1g-1
- Ubuntu 12.04: openssl 1.0.1-4ubuntu5.12
- Ubuntu 13.10: openssl 1.0.1e-3ubuntu1.2
- 注意: OpenSSL 1.0.1 ~ 1.0.1f 和 1.0.2-beta 使用這些版本建出來的 SSL Key 會需要重新產生建立
相關網頁
- existential type crisis : Diagnosis of the OpenSSL Heartbleed Bug - 有詳細的原因、說明
- CVE - CVE-2014-0160
- OpenSSL 的公告: TLS heartbeat read overrun (CVE-2014-0160)
- Heartbleed Bug
- Heartbleed資安漏洞,數十萬伺服器可能洩密 - Inside 網摘
- OpenSSL 曝出重大缺陷 黑客可多次竊取數據
The post OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測 appeared first on Tsung's Blog.
