分页: 1 / 1

紧急警告,OpenSSL Heart Bleed漏洞,12.04 LTS受其影响

发表于 : 2014-04-09 21:40
farta
最近可能很多人听说了,互联网安全基础之一的OpenSSL爆出重大安全漏洞,攻击者可以用一个并不困难的办法,让OpenSSL直接泄露最多64K的工作内存的内容。这64K里可能会有许多敏感数据,如用户名,密码,Session ID,甚至私钥,会有机会直接造成你的安全体系崩塌。包括yahoo在内的诸多大型网站纷纷中招,正在紧急修复中。这是今年互联网安全的大事,比苹果那个go to fail可怕得多

各OpenSSL版本状态如下

OpenSSL 1.0.1 到 1.0.1f (包含) 受影响
OpenSSL 1.0.2-beta 受影响
OpenSSL 1.0.1g 不受影响
OpenSSL 1.0.0 不受影响
OpenSSL 0.9.8 不受影响

受影响的部分操作系统如下

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)

可以看到大量主流服务器系统几乎全军覆没,包括Ubuntu 12.04 LTS。更高版本的Ubuntu有无修复,请对照OpenSSL版本。如果你在用12.04LTS架有SSL的服务器,关注这件事件,尤其关注Ubuntu官方补丁,用最快速度去修复。

更多信息请猛击此处

Re: 紧急警告,OpenSSL Heart Bleed漏洞,12.04 LTS受其影响

发表于 : 2014-04-09 22:51
aiikii
谢谢提醒,正在下载更新。

Re: 紧急警告,OpenSSL Heart Bleed漏洞,12.04 LTS受其影响

发表于 : 2014-04-09 23:23
farta
aiikii 写了:谢谢提醒,正在下载更新。
尤其注意是否有OpenSSL的更新,更新之前查看更新说明,是否是修复了这个编号为CVE-2014-0160的BUG。并看一下更新后OpenSSL的版本确认修复。

要确认地彻底一些,可以用apt直接下载当前版本的OpenSSL的源代码,并对照这个页面中的代码分析,来确认bug已经修复。

Re: 紧急警告,OpenSSL Heart Bleed漏洞,12.04 LTS受其影响

发表于 : 2014-04-09 23:27
shinery
linux mint 16 kde:
OpenSSL 1.0.1e 11 Feb 2013

Re: 紧急警告,OpenSSL Heart Bleed漏洞,12.04 LTS受其影响

发表于 : 2014-04-09 23:28
shinery
farta 写了:
aiikii 写了:谢谢提醒,正在下载更新。
尤其注意是否有OpenSSL的更新,更新之前查看更新说明,是否是修复了这个编号为CVE-2014-0160的BUG。并看一下更新后OpenSSL的版本确认修复。

要确认地彻底一些,可以用apt直接下载当前版本的OpenSSL的源代码,并对照这个页面中的代码分析,来确认bug已经修复。
对普通单个用户没有什么影响吧?

Re: 紧急警告,OpenSSL Heart Bleed漏洞,12.04 LTS受其影响

发表于 : 2014-04-09 23:35
farta
shinery 写了:
farta 写了:
aiikii 写了:谢谢提醒,正在下载更新。
尤其注意是否有OpenSSL的更新,更新之前查看更新说明,是否是修复了这个编号为CVE-2014-0160的BUG。并看一下更新后OpenSSL的版本确认修复。

要确认地彻底一些,可以用apt直接下载当前版本的OpenSSL的源代码,并对照这个页面中的代码分析,来确认bug已经修复。
对普通单个用户没有什么影响吧?
这个漏洞可怕的地方就在这里。任何使用带缺陷的OpenSSL网站的所有普通用户都可能泄密。而且对普通用户来说,没有解决方案。因为这个漏洞存在于服务器端。用户唯有祈祷自己注册的网站在修复前没有被黑客光顾。如果有光顾的可能,那只能在修复后改密码。如果说姓名,身份证号,信用卡号之类的信息泄露了,没有办法挽回。