V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tension
V2EX  ›  信息安全

这次 OpenSSL 漏洞,不同版本的应该如何修复?

  •  
  •   tension · 2014-04-09 08:40:01 +08:00 · 10679 次点击
    这是一个创建于 3886 天前的主题,其中的信息可能已经有所发展或是发生改变。
    @Livid 给出的升级方法...

    apt-get update
    apt-get install libssl1.0.0 libssl-dev

    @sobigfish 的升级方法

    apt-get update
    apt-get upgrade

    不支持CENT OS

    还有其他办法吗?
    第 1 条附言  ·  2014-04-09 13:09:51 +08:00
    32 条回复    1970-01-01 08:00:00 +08:00
    Livid
        1
    Livid  
    MOD
       2014-04-09 08:44:10 +08:00 via iPhone
    你运行 openssl version 看一下版本号,如果不是 1.0.1 就不用管了。
    niseter
        2
    niseter  
       2014-04-09 08:46:09 +08:00 via Android
    debian/ububtu
    建议update后upgrade,有些组件比如ssh也收到影响。
    centos试试下载g版本编译安装吧
    sanddudu
        3
    sanddudu  
       2014-04-09 08:48:32 +08:00
    根据官方的消息,用户应该升级到 1.0.1g
    也可以带 -DOPENSSL_NO_HEARTBEATS 参数重新编译
    SharkIng
        4
    SharkIng  
       2014-04-09 08:51:51 +08:00
    使用这两个办法之后依然还是1.0.1c版本,好像是不是源没更新?
    tension
        5
    tension  
    OP
       2014-04-09 08:53:48 +08:00
    @Livid OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

    郁闷...
    Livid
        6
    Livid  
    MOD
       2014-04-09 08:54:35 +08:00
    @tension 0.9.8 不受这个漏洞影响,不用管了。
    sanddudu
        7
    sanddudu  
       2014-04-09 09:00:33 +08:00
    @Livid 好像1.0.2-beta1也受波及
    andybest
        8
    andybest  
       2014-04-09 09:01:02 +08:00
    Ubuntu 12.04.4 LTS 下执行了
    apt-get update
    apt-get install libssl1.0.0 libssl-dev
    apt-get upgrade

    仍然是:
    OpenSSL 1.0.1 14 Mar 2012

    官方源没修改过,这咋整 @Livid @sobigfish
    Livid
        9
    Livid  
    MOD
       2014-04-09 09:02:26 +08:00
    @andybest 用 heartbleeder 测试一下:

    https://github.com/titanous/heartbleeder
    bigredapple
        10
    bigredapple  
       2014-04-09 09:13:17 +08:00
    yum -y update 已经修复了啊
    niseter
        11
    niseter  
       2014-04-09 09:22:56 +08:00 via Android
    @andybest 12.04应该是更新到 5.12那个,你这么查看不到的,安装时候显示
    niseter
        12
    niseter  
       2014-04-09 09:24:01 +08:00 via Android
    Ubuntu 12.04 LTS: 版本为 1.0.1-4ubuntu5.12


    @andybest
    ptsa
        13
    ptsa  
       2014-04-09 09:50:45 +08:00
    ubuntu 13.04 13.10 upgrade 后 还是1.0.1c
    initialdp
        14
    initialdp  
       2014-04-09 09:54:16 +08:00
    我们生产环境用的是Ubuntu 10.04,系统没有提示要更新。估计是没有受影响。
    orzjerry
        15
    orzjerry  
       2014-04-09 10:01:50 +08:00
    5.7是官方发布的最新的1.0.1e中修复漏洞的版本。(centos)
    megaforce
        16
    megaforce  
       2014-04-09 10:10:46 +08:00
    centos下面,
    我是按srpm里面spec文件中想关的Configure重新编译一次新的openssl,覆盖掉系统本身的
    ray1980
        17
    ray1980  
       2014-04-09 10:48:03 +08:00
    1.0.1e 受影响么?
    rrfeng
        18
    rrfeng  
       2014-04-09 11:20:06 +08:00
    刚刚全部重新编译升级了 nginx ……
    anjunecha
        19
    anjunecha  
       2014-04-09 11:28:02 +08:00
    @rrfeng 我翘课几台服务器编译了一上午。。
    Ever
        20
    Ever  
       2014-04-09 11:46:39 +08:00
    @rrfeng
    @anjunecha

    更新完官方源里的libssl, restart下nginx就可以了, 不用重新编译。
    rrfeng
        21
    rrfeng  
       2014-04-09 12:05:10 +08:00   ❤️ 1
    @Ever
    我们用的是自编译版本
    openssl 是直接编译进去的
    Zhongwei
        22
    Zhongwei  
       2014-04-09 12:06:42 +08:00
    @ray1980 1.0.1e 受影响,需要升级到 1.0.1g
    icyflash
        23
    icyflash  
       2014-04-09 12:39:13 +08:00
    raincious
        24
    raincious  
       2014-04-09 15:30:00 +08:00
    @ray1980
    @Zhongwei

    CentOS如果你yum upgrade之后发现openssl version还是OpenSSL 1.0.1e-fips 11 Feb 2013,那么再运行

    openssl version -a | head -2

    检查一下。

    For CentOS, the OpenSSL version did not change. Instead, only the compile time changed. To test if you are running the right version, look at the second line of the "openssl version -a" output:

    Fixed version:

    $ openssl version -a | head -2
    OpenSSL 1.0.1e-fips 11 Feb 2013
    built on: Tue Apr 8 02:39:29 UTC 2014

    Old version:

    OpenSSL 1.0.1e-fips 11 Feb 2013
    built on: Wed Jan 8 18:40:59 UTC 2014

    https://isc.sans.edu/diary.html
    raincious
        25
    raincious  
       2014-04-09 15:33:33 +08:00
    这是正确的Blog地址: https://isc.sans.edu/forums/diary/OpenSSL+CVE-2014-0160+Fixed/17917

    另外Ubuntu系的机器貌似开了Security Update的话,自己已经更新好了,各位自行检查下。
    Zhongwei
        26
    Zhongwei  
       2014-04-09 15:57:38 +08:00
    @rrfeng 跪谢,搞了半天发现有一台也是这种问题
    cakegg
        27
    cakegg  
       2014-04-09 19:45:10 +08:00
    很想知道这个漏洞是哪个大神发现的???
    anjunecha
        28
    anjunecha  
       2014-04-09 19:50:20 +08:00   ❤️ 1
    @cakegg 由安全公司 Codenomicon 的研究人员和Google安全小组的Neel Mehta相互独立地发现
    mengzhuo
        29
    mengzhuo  
       2014-04-09 21:20:31 +08:00
    Ubuntu已经发布了1.0.1的补丁 直接upgrade就好了
    greyby
        30
    greyby  
       2014-04-10 01:47:16 +08:00
    @Livid 自己指定OpenSSL源码目录(with-openssl)编译安装的nginx 还需要重新编译 http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/
    princeofwales
        31
    princeofwales  
       2014-04-10 08:25:10 +08:00
    windows下IIS的https要不要搞?
    Emory_M
        32
    Emory_M  
       2014-04-10 13:35:44 +08:00
    @raincious Thx :)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3492 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:51 · PVG 18:51 · LAX 02:51 · JFK 05:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.