Tôi nên làm gì với lỗi Heartbleed cho các trang web tôi chạy?


9

Lỗi Heartbleed được công bố gần đây trong OpenSSL ảnh hưởng đến nhiều trang web (70% internet).

Có một trang web:

http://www.heartbleed.com

Có một bài kiểm tra dựa trên web:

http://filippo.io/Heartbleed/

Tôi nên làm gì để bảo vệ các trang web mà tôi chạy?



5
JdeBP

4
Bây giờ mọi trang web liên quan đến máy tính SE lớn đều có câu hỏi này ... nấu ăn.stackexchange.com : D
VL-80

Tôi đã thêm phiên bản người dùng cuối của câu hỏi này tại superuser.com/questions/739260/ (nhưng ai đó đã hạ cấp nó, mà không cần giải thích).
danorton

1
@Nikolay, bây giờ tôi rất muốn hỏi nó về nấu ăn.
Joe

Câu trả lời:


7

Bạn nên:

  • Cập nhật hệ thống của bạn lên phiên bản OpenSSL mới nhất
  • Tạo khóa và chứng chỉ mới cho các dịch vụ dựa trên OpenSSL và khởi động lại chúng
  • Thu hồi các chứng chỉ cũ
  • Vô hiệu hóa tất cả các phiên thành lập

Tôi không cho rằng bạn biết một số hướng dẫn rõ ràng tốt đẹp cho ba bước cuối cùng, phải không?
Paul D. Waite

Thu hồi và tái tạo chứng chỉ sản xuất thường liên quan đến bất kỳ quy trình nào mà CA của bạn có tại chỗ. Vì điều đó thay đổi từ một CA sang ...
Roger Lipscombe

Làm thế nào để cập nhật hệ thống của bạn phụ thuộc vào người quản lý gói của bạn. Phiên vô hiệu là phụ thuộc vào ứng dụng. Đối với chứng chỉ, bạn sẽ phải liên hệ với CA của mình nhưng bước đầu tiên phải là tạo khóa mới và CSR: openssl req -nodes -newkey rsa:4096 -keyout post_heartbleed.key -out post_heartbleed.csr!
Executifs

4

Bị đánh cắp từ một bình luận reddit.

  1. Cập nhật hệ thống của bạn:

    sudo apt-get update
    sudo apt-get upgrade
    
  2. Khởi động lại máy chủ

  3. openssl version -a để đảm bảo bạn có phiên bản mới nhất !!


OP cung cấp!
I am John Galt

1
@IamJohnGalt Không giống như nó là một khóa an toàn hoặc một cái gì đó. ;)
Ƭᴇcʜιᴇ007

14
Đây là không phải đủ Các khóa SSL cần được thay thế, mà không làm điều đó một bản vá sẽ vẫn khiến bạn dễ bị đánh cắp khóa.
Tyrsius

Điều này giả sử hệ thống của bạn sử dụng apt-get là người quản lý gói của bạn. Câu hỏi không cho thấy điều này nhất thiết phải là trường hợp.
Michael

0

Cụ thể hơn cho Ubuntu hoặc Debian nói chung

/etc/init.d/apache2 stop
aptitude update
dpkg -l \*libssl\*
aptitude safe-upgrade libssl1.0.0
dpkg -l \*libssl\*
/etc/init.d/apache2 start

Tham chiếu http://www.ubfox.com/usn/usn-2165-1/

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.