OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

OpenSSL 爆發出嚴重的安全性漏洞, 請趕快檢測 + 升級.

OpenSSL CVE-2014-0160 Heartbleed 安全漏洞檢測

關於此次事件, 此篇文章: OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞, 寫的非常清楚, 在此就不詳述, 再此摘錄部份說明: (感謝 Allen Own)

這個漏洞能讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。

註: 此篇文章非常清楚說明問題、應對措施, 該如何做等等, 在此就不詳述, 只紀錄幾個要做的事情.

Debina / Ubuntu Linux 需要做的事情

  1. dpkg -l | grep openssl # 確認 OpenSSL 版本是否是 openssl 1.0.1e-2+deb7u4 (Debian Wheezy) / openssl 1.0.1-4ubuntu5.11 (Ubuntu 12.04)
  2. 使用下述檢測工具測試
    1. Heartbleed test: Test your server for Heartbleed (CVE-2014-0160)
    2. 自我測試工具: http://s3.jspenguin.org/ssltest.py備份, ex: python ssltest.py ifttt.com
  3. 檢測是否有問題:
    • 有問題, 請到上述文章去看有哪些事情要作.
    • 沒有問題, 請執行套件升級:
      1. apt-get update
      2. apt-get upgrade # 注意 openssl、libssl.
      3. 更新後的版本是:
        • Debian Wheezy: openssl 1.0.1e-2+deb7u6
        • Debian Jessie: openssl 1.0.1g-1
        • Ubuntu 12.04: openssl 1.0.1-4ubuntu5.12
        • Ubuntu 13.10: openssl 1.0.1e-3ubuntu1.2
  4. 注意: OpenSSL 1.0.1 ~ 1.0.1f 和 1.0.2-beta 使用這些版本建出來的 SSL Key 會需要重新產生建立

更新

  1. 此篇有更新版的資料, 建議參考: OpenSSL Heartbleed 全球駭客的殺戮祭典,你參與了嗎?
  2. 新增檢測工具: check-ssl-heartbleed.pl
  3. 2014/4/10 尚未更新清單: Internet Heartbleed Health Report

相關網頁

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料